Mit Rollen, Berechtigungssätzen und Modellsätzen wird verwaltet, was Nutzer tun und sehen können. Auf der Seite Rollen im Bereich Nutzer des Bereichs Verwaltung können Sie Rollen, Berechtigungssätze und Modellsätze aufrufen, konfigurieren und zuweisen.
Sie können nach bestimmten Rollen, Berechtigungsgruppen und Modellgruppen suchen, indem Sie oben rechts einen Suchbegriff in das Suchfeld eingeben und die Eingabetaste drücken.
Definitionen
- Eine Rolle definiert die Berechtigungen, die ein Nutzer oder eine Gruppe für eine bestimmte Gruppe von Modellen in Looker hat. Sie erstellen eine Rolle, indem Sie eine Berechtigungsgruppe mit einer Modellgruppe kombinieren.
- Mit einem Berechtigungssatz wird festgelegt, was ein Nutzer oder eine Gruppe tun kann. Sie wählen eine Kombination von Berechtigungen aus, die Sie einem Nutzer oder einer Gruppe zuweisen möchten. Sie muss als Teil einer Rolle verwendet werden, um eine Wirkung zu erzielen.
- Mit einem Modellsatz wird festgelegt, welche Daten und LookML-Felder ein Nutzer oder eine Gruppe sehen kann. Sie wählen eine Kombination von LookML-Modellen aus, auf die ein Nutzer oder eine Gruppe Zugriff haben soll. Sie muss als Teil einer Rolle verwendet werden, um eine Wirkung zu erzielen.
Rollen zuweisen
Eine Rolle ist eine Kombination aus einer Berechtigungs- und einer Modellgruppe. Es ist üblich, Rollen nach Personentypen oder Personengruppen in Ihrer Organisation zu benennen, z. B. Administrator, Looker-Entwickler oder Finanzteam. Sie können aber auch Ihre eigenen Benennungskonventionen verwenden.
Ein Nutzer kann in Looker mehrere Rollen haben. Das kann nützlich sein, wenn Nutzer in Ihrem Unternehmen mehrere Rollen haben oder wenn Sie komplexe Zugriffssysteme für Ihre Modelle erstellen möchten.
Rollen erstellen, bearbeiten und löschen
So erstellen Sie eine Rolle:
- Klicken Sie oben auf der Seite Rollen auf die Schaltfläche Neue Rolle.
In Looker wird die Seite Neue Rolle angezeigt, auf der Sie die folgenden Einstellungen konfigurieren können:
- Name: Geben Sie einen Namen für die Rolle ein.
- Berechtigungssatz: Wählen Sie einen Berechtigungssatz aus, der der Rolle zugewiesen werden soll.
- Modellsatz: Wählen Sie einen Modellsatz aus, der der Rolle zugewiesen werden soll.
- Gruppen: Optional können Sie eine oder mehrere Gruppen auswählen, denen die Rolle zugewiesen werden soll.
- Nutzer: Optional können Sie einen oder mehrere Nutzer auswählen, denen die Rolle zugewiesen werden soll.
Wenn Sie die Rolle wie gewünscht konfiguriert haben, klicken Sie unten auf der Seite auf die Schaltfläche Neue Rolle.
Nachdem eine Rolle erstellt wurde, können Sie sie bearbeiten, indem Sie auf der Seite Rollen rechts neben der Rolle auf die Schaltfläche Bearbeiten klicken. Wenn Sie auf Bearbeiten klicken, gelangen Sie zur Seite Rolle bearbeiten für diese Rolle. Dort können Sie den Namen, die Berechtigungsgruppe, die Modellgruppe und die Gruppen oder Nutzer bearbeiten, die der Rolle zugewiesen sind.
Wenn Sie eine Rolle löschen möchten, klicken Sie auf der Seite Rollen rechts neben der Rolle auf die Schaltfläche Löschen.
Standardrollen
Für neue Instanzen erstellt Looker die folgenden Standardrollen, die jeweils einen Standardberechtigungssatz mit demselben Namen enthalten:
- Admin
- Entwickler
- Erweiterter Support-Editor
- Support Basic Editor
- Nutzer
- Betrachter
Die Rollen Erweiterter Support-Bearbeiter und Einfacher Support-Bearbeiter können nicht bearbeitet, gelöscht oder anderen Nutzern als Nutzer mit Supportzugriff zugewiesen werden.
Berechtigungssätze
Mit einer Berechtigungsgruppe wird festgelegt, was ein Nutzer oder eine Gruppe tun darf. Administratoren können die Standardberechtigungsgruppen von Looker verwenden oder eigene Berechtigungsgruppen erstellen. Dabei müssen sie die Abhängigkeiten von Berechtigungen berücksichtigen.
Alle verfügbaren Berechtigungen und ihre Typen werden in der Liste der Berechtigungen ausführlicher erläutert.
Standardberechtigungssätze
Bei neuen Installationen enthält Looker mehrere Standardberechtigungssätze, mit denen Sie beginnen können:
Diese Berechtigungssätze werden als Optionen angezeigt, wenn Sie eine neue Rolle erstellen. Wenn Sie einen dieser Berechtigungssätze auswählen, wird in Looker eine Liste der enthaltenen Berechtigungen angezeigt.
Die Berechtigungsgruppe „Administrator“ kann nicht bearbeitet oder gelöscht und keiner Rolle zugewiesen werden. Sie wird nur der Rolle „Administrator“ zugewiesen, die ebenfalls nicht bearbeitet oder gelöscht werden kann. Die Administratorberechtigung kann nur einem Nutzer oder einer Gruppe gewährt werden, indem Sie diesem Nutzer oder dieser Gruppe die Rolle „Administrator“ zuweisen.
Berechtigungssätze erstellen
Wenn Sie einen Berechtigungssatz erstellen möchten, klicken Sie oben auf der Seite Rollen auf die Schaltfläche Neuer Berechtigungssatz. In Looker wird eine Seite angezeigt, auf der Sie einen Namen für die Berechtigungsgruppe eingeben und die Berechtigungen auswählen können, die sie enthalten soll. Wenn Sie den Satz wie gewünscht konfiguriert haben, klicken Sie unten auf der Seite auf die Schaltfläche Neuer Berechtigungssatz.
Nachdem eine Berechtigungsgruppe erstellt wurde, können Sie sie bearbeiten oder löschen. Klicken Sie dazu auf der Seite Rollen rechts neben der Berechtigungsgruppe auf die Schaltflächen Bearbeiten oder Löschen.
Berechtigungen und Abhängigkeiten
Einige Berechtigungen sind für die ordnungsgemäße Funktion von anderen abhängig. Es ist beispielsweise sinnvoll, dass jemand, der in LookML entwickeln möchte, zuerst LookML sehen kann.
Wenn Sie eine Berechtigungsgruppe erstellen, werden die verfügbaren Berechtigungen in einer eingerückten Liste angezeigt. Wenn eine Berechtigung unter einer anderen (übergeordneten) Berechtigung eingerückt ist, müssen Sie zuerst die übergeordnete Berechtigung auswählen. Die Berechtigungsliste könnte so aussehen:
☑️ access_data ☑️ see_lookml_dashboards ☑️ see_looks ☑️ see_user_dashboards
In diesem Beispiel wird in Looker durch Einzüge Folgendes angezeigt:
- Das
access_data
-Berechtigung kann jederzeit ausgewählt werden. - Für die Berechtigungen
see_lookml_dashboards
undsee_looks
muss zuerst die Berechtigungaccess_data
ausgewählt werden. - Das
see_user_dashboards
-Berechtigung hängt vomsee_looks
-Berechtigung ab, das wiederum vomaccess_data
-Berechtigung abhängt.
Sie können ein untergeordnetes Berechtigungsobjekt nicht auswählen, ohne zuerst das übergeordnete Objekt auszuwählen.
Berechtigungen und Looker-Lizenzen
Looker-Lizenzen unterteilen Nutzer in drei Typen:
- Entwickler (Administrator)
- Standard (Creator)
- Betrachter
Die Berechtigungen, die einem Nutzer gewährt werden, bestimmen, wie dieser Nutzer gemäß der Looker-Lizenz klassifiziert wird:
Ein Nutzer wird als Entwickler (Administrator) klassifiziert, wenn er die Standardrolle „Administrator“ oder mindestens eine der folgenden Berechtigungen hat:
Ein Nutzer wird als Standardnutzer (Creator) eingestuft, wenn er keine der Berechtigungen für Entwickler (Administrator) hat, aber mindestens eine der folgenden Berechtigungen:
Ein Nutzer wird als Betrachter klassifiziert, wenn er die Berechtigung
access_data
, aber keine der Berechtigungen für Entwickler (Administrator) und keine der Standardberechtigungen (Creator) hat.
Berechtigungsliste
Die folgenden Berechtigungen interagieren auf möglicherweise unerwartete Weise mit Modellsätzen:
In der IDE von Looker kann ein einzelnes Projekt mehrere Modelldateien enthalten. Wenn Sie einem Nutzer die Berechtigungen
develop
see_lookml
manage_models
manage_modelsets_restricted
manage_project_connections_restricted
manage_project_connections
develop
odersee_lookml
zuweisen und ihm erlauben, alle Modelle zu sehen, die zu einem Projekt gehören, kann er die LookML für alle Modelle in diesem Projekt entwickeln oder aufrufen. Sie können jedoch weiterhin keine Abfragen zu Modellen stellen, die Sie nicht zugelassen haben.Wenn Sie einem Nutzer die Berechtigungmanage_models
zuweisen, kann er auf alle Modelle in allen Projekten in der Instanz zugreifen.Wenn Sie einem Nutzer die Berechtigung
Wenn Sie einem Nutzer die Berechtigungenmanage_modelsets_restricted
zuweisen, kann er jedem Modell in einem Projekt, auf das er Zugriff hat, eine Kennung zuweisen.manage_project_connections_restricted
odermanage_project_connections
zuweisen, kann er Verbindungen auf Projektebene für alle Projekte in der Modellgruppe aufrufen, bearbeiten und erstellen.
Berechtigungen können in drei Typen unterteilt werden:
- Modellspezifisch:Dieser Berechtigungstyp gilt nur für die Modellsätze, die zu derselben Rolle gehören. Diese Berechtigung wird auf einzelne Modelle oder Modellsätze angewendet, nicht auf die gesamte Looker-Instanz.
- Verbindungsspezifisch:Dieser Berechtigungstyp wird auf Verbindungsebene angewendet. Nutzer mit dieser Berechtigung sehen auf Seiten im Bereich Verwaltung Inhalte, für die eine Verbindung zu einem Modell verwendet wird, auf das sie Datenzugriff haben, auch wenn diese Verbindung für ein anderes Modell verwendet wird, auf das sie keinen Datenzugriff haben.
- Instanzweit:Dieser Berechtigungstyp gilt für die Looker-Instanz insgesamt und umfasst drei Typen:
- NN = Kein Inhaltszugriff, kein Menüzugriff: Mit diesen Berechtigungen können Nutzer bestimmte Funktionen in der gesamten Looker-Instanz ausführen, aber nicht auf Inhalte zugreifen, die auf Modellen basieren, die nicht im Modellsatz ihrer Rolle enthalten sind.
- CN = Zugriff auf Inhalte, kein Menüzugriff: Mit diesen Berechtigungen können Nutzer auf Inhalte zugreifen und Informationen in der gesamten Looker-Instanz abfragen – auch für Inhalte und Abfragen, die auf Modellen basieren, die nicht im Modellsatz ihrer Rolle enthalten sind.
- CM = Zugriff auf Inhalte, Menüzugriff: Mit diesen Berechtigungen können Teile des Menüs „Verwaltung“ für Nutzer ohne Administratorrechte freigegeben werden. Außerdem können Nutzer Informationen zu Inhalten und Abfragen auf Grundlage von Modellen sehen, die nicht im Modellsatz ihrer Rolle enthalten sind.
In der folgenden Liste werden alle Berechtigungen beschrieben, die in Looker verfügbar sind, in der Reihenfolge, in der sie auf der Seite Neue Berechtigungsgruppe im Bereich Verwaltung angezeigt werden:
Berechtigung | Abhängig von | Typ | Definition |
---|---|---|---|
access_data |
Keine | Modellspezifisch | Nutzer können auf Daten aus Looker zugreifen, aber nur auf die Daten, die Administratoren angeben. Diese Berechtigung ist für fast alle Looker-Funktionen erforderlich.Ein Nutzer mit dieser Berechtigung kann, wenn er Zugriff auf ein Modell in einem bestimmten Projekt hat, auf jede Datei im Bereich Daten dieses Projekts zugreifen, z. B. auf eine benutzerdefinierte JSON-Kartendatei. |
see_lookml_dashboards |
access_data |
Modellspezifisch | Nutzer sehen den LookML-Ordner Dashboards , der alle LookML-Dashboards enthält. Nutzer benötigen die Berechtigung explore für alle relevanten Modelle, um diese Dashboards zu analysieren. Nutzer, die auch die Berechtigung develop haben, können LookML-Dashboards erstellen. |
see_looks |
access_data |
Modellspezifisch | Nutzer können gespeicherte Looks (aber keine Dashboards) in Ordnern sehen. Nutzer benötigen die Berechtigung explore für alle relevanten Modelle, um diese Looks zu analysieren. Außerdem benötigen Nutzer die Zugriffsebene Anzeigen, um Looks in Ordnern sehen zu können. |
see_user_dashboards |
see_looks |
Modellspezifisch | Nutzer können sich nutzerdefinierte Dashboards in Ordnern ansehen, benötigen aber die Berechtigung explore für alle relevanten Modelle, um diese Dashboards zu analysieren. Außerdem benötigen Nutzer den Inhaltszugriff Anzeigen, um Dashboards in Ordnern sehen zu können. Nutzer, die sowohl die Berechtigung save_dashboards als auch den Inhaltszugriff Zugriff verwalten, Bearbeiten für einen Ordner haben, können in diesem Ordner nutzerdefinierte Dashboards erstellen. |
explore |
see_looks |
Modellspezifisch | Nutzer können auf die Explore-Seite zugreifen und sie verwenden, um Looks und Dashboards zu erstellen. Ohne diese Berechtigung können Nutzer nur gespeicherte Dashboards aufrufen, sofern see_lookml_dashboards oder see_user_dashboards gewährt wurde. |
create_table_calculations |
explore |
Instanzweite NN | Nutzer können Tabellenberechnungen aufrufen, bearbeiten oder hinzufügen. |
create_custom_fields |
explore |
Instanzweite NN | Nutzer können benutzerdefinierte Felder aufrufen, bearbeiten oder hinzufügen. Nutzer mit der Berechtigung explore können benutzerdefinierte Felder nur aufrufen. |
can_create_forecast |
explore |
Instanzweite NN | Nutzer können Prognosen in Visualisierungen erstellen und bearbeiten. Nutzer ohne diese Berechtigung können nur vorhandene Prognosen in den Inhalten aufrufen, auf die sie Zugriff haben. |
can_override_vis_config |
explore |
Instanzweite NN | Nutzer können auf den Diagramm-Konfigurationseditor zugreifen, um die Highchart API JSON-Werte einer Visualisierung zu ändern und das Aussehen und Format der Visualisierung anzupassen. |
save_content |
see_looks |
Instanzweite NN | Diese Berechtigung ist eine übergeordnete Berechtigung von save_dashboards , save_looks und create_public_looks . Diese Berechtigung muss mit save_dashboards oder save_looks erteilt werden. |
save_dashboards |
save_content |
Instanzweite NN |
NEU 24.4
Nutzer können Dashboards speichern und bearbeiten. Nutzer benötigen die Berechtigung explore für alle relevanten Modelle, die in diesen Dashboards explorative Datenanalysen enthalten. Nutzer benötigen die Berechtigungen download_with_limit und/oder download_without_limit , um die Inhalte herunterladen zu können. |
save_looks |
save_content |
Instanzweite NN |
NEU 24.4
Nutzer können Looks speichern und bearbeiten. Nutzer benötigen die Berechtigung explore für alle relevanten Modelle, die in diesen Looks untersucht werden sollen. Nutzer benötigen die Berechtigungen download_with_limit und/oder download_without_limit , um die Inhalte herunterladen zu können. |
create_public_looks |
save_looks |
Modellspezifisch | Nutzer können einen gespeicherten Look als öffentlich kennzeichnen. Dadurch werden URLs generiert, über die ohne Authentifizierung auf diesen Look zugegriffen werden kann. |
download_with_limit |
see_looks |
Modellspezifisch | Nutzer können Abfragen herunterladen (als CSV-, Excel- und andere Formate). Sie müssen jedoch ein Zeilenlimit von maximal 5.000 angeben, um Speicherprobleme durch große Downloads auf der Instanz zu vermeiden. |
download_without_limit |
see_looks |
Modellspezifisch | Entspricht download_with_limit , aber der Nutzer muss kein Zeilenlimit angeben. Das Herunterladen aller Ergebnisse für einige Arten von Abfragen kann viel Arbeitsspeicher erfordern und zu Leistungsproblemen oder sogar zum Absturz der Looker-Instanz führen. |
schedule_look_emails |
see_looks |
Modellspezifisch | Nutzer können alle Looks, Dashboards und Abfragen mit Visualisierungen, auf die sie Datenzugriff haben, per E-Mail versenden. Nutzer können die Übermittlung so planen, dass sie nach dem Auslösen einer Datengruppe erfolgt, der Cache verwaltet und die relevanten PDTs neu erstellt wurden.Um Dashboards zur Systemaktivität zu senden oder zu planen, müssen Nutzer Zugriff auf alle Modelle haben. Nutzer, die auch create_alerts -Berechtigungen haben, können E-Mail-Benachrichtigungen senden. Looker-Administratoren können die E-Mail-Domains verwalten, an die Looker-Nutzer und eingebettete Nutzer E-Mails senden können. Dazu verwenden sie die Zulassungsliste für E-Mail-Domains auf der Seite Einstellungen im Bereich Verwaltung.Diese Berechtigung wird auf einzelne Modelle oder Modellsätze angewendet, nicht auf die gesamte Looker-Instanz. |
schedule_external_look_emails |
schedule_look_emails |
Modellspezifisch | Nutzer können Looker-Objekte, Dashboards und Abfragen mit Visualisierungen per E-Mail versenden, auf die sie Datenzugriff haben. Nutzer können die Übermittlung so planen, dass sie nach dem Auslösen einer Datengruppe erfolgt, der Cache verwaltet und die relevanten PDTs neu erstellt wurden.Um Dashboards zur Systemaktivität zu senden oder zu planen, müssen Nutzer Zugriff auf alle Modelle haben. Nutzer mit create_alerts -Berechtigungen können E-Mail-Benachrichtigungen senden. Nutzer können E-Mails mit Inhaltsübermittlungen oder Benachrichtigungen an E-Mail-Adressen mit beliebiger Domain senden, unabhängig davon, ob die Zulassungsliste für E-Mail-Domains auf der Seite Einstellungen im Bereich Verwaltung E-Mail-Domains enthält, die auf der Zulassungsliste stehen.Diese Berechtigung wird auf einzelne Modelle oder Modellsätze angewendet, nicht auf die gesamte Looker-Instanz. |
create_alerts |
see_looks |
Instanzweite NN | Über die Dashboard-Kachel können Nutzer eigene Benachrichtigungen erstellen, duplizieren und löschen. Außerdem können sie Benachrichtigungen sehen und duplizieren, die von anderen Nutzern als Öffentlich gekennzeichnet wurden. Der Nutzer muss in Slack angemeldet sein, um Benachrichtigungen zu sehen, die über Dashboard-Kacheln an Slack gesendet werden. Nutzer können auf der Seite Benachrichtigungen verwalten Benachrichtigungen aufrufen, bearbeiten, deaktivieren und aktivieren. Nutzer benötigen die Berechtigung schedule_look_emails oder schedule_external_look_emails , um E-Mail-Benachrichtigungen senden zu können. |
follow_alerts |
see_looks |
Instanzweite NN | Nutzer können Warnungen ansehen und folgen. Auf der Seite Benachrichtigungen verwalten können Sie sich die Benachrichtigungen ansehen, denen der Nutzer folgt oder für die er als Empfänger aufgeführt ist. |
send_to_s3 |
see_looks |
Modellspezifisch | Nutzer können alle Looks, Dashboards und Abfragen mit Visualisierungen bereitstellen, für die sie Datenzugriff auf einen Amazon S3-Bucket haben. Nutzer können die Übermittlung so planen, dass sie nach dem Auslösen einer Datengruppe erfolgt, der Cache verwaltet und die relevanten PDTs neu erstellt wurden.Diese Berechtigung wird auf einzelne Modelle oder Modellsätze angewendet, nicht auf die gesamte Looker-Instanz. |
send_to_sftp |
see_looks |
Modellspezifisch | Nutzer können alle Looks, Dashboards und Abfragen mit Visualisierungen, auf die sie Datenzugriff haben, an einen SFTP-Server übertragen. Nutzer können die Übermittlung so planen, dass sie nach dem Auslösen einer Datengruppe erfolgt, der Cache verwaltet und die relevanten PDTs neu erstellt wurden.Diese Berechtigung wird auf einzelne Modelle oder Modellsätze angewendet, nicht auf die gesamte Looker-Instanz. |
send_outgoing_webhook |
see_looks |
Modellspezifisch | Nutzer können Looker-Objekte, Dashboards und Abfragen mit Visualisierungen, auf die sie Datenzugriff haben, an einen Webhook senden. Nutzer können die Übermittlung so planen, dass sie nach dem Auslösen einer Datengruppe erfolgt, der Cache verwaltet und die relevanten PDTs neu erstellt wurden.Diese Berechtigung wird auf einzelne Modelle oder Modellsätze angewendet, nicht auf die gesamte Looker-Instanz. |
send_to_integration |
see_looks |
Modellspezifisch | Nutzer können Looker-Objekte, Dashboards und Abfragen mit Visualisierungen über den Looker Action Hub freigeben, für die sie Datenzugriff auf die mit Looker integrierten Drittanbieterdienste haben. Wenn Sie benutzerdefinierte Aktionen mit Nutzerattributen verwenden, müssen Nutzer diese Berechtigung und einen nicht nullwertigen und gültigen Nutzerattributwert für das angegebene Nutzerattribut haben, damit Looker-Inhalte an das Ziel der Aktion gesendet werden. Diese Berechtigung bezieht sich nicht auf Datenaktionen. Nutzer können die Übermittlung so planen, dass sie nach dem Auslösen einer Datengruppe erfolgt, der Cache verwaltet und die relevanten PDTs neu erstellt wurden.Diese Berechtigung wird auf einzelne Modelle oder Modellsätze angewendet, nicht auf die gesamte Looker-Instanz. |
see_sql |
see_looks |
Modellspezifisch | Nutzer können während der explorativen Datenanalyse auf den Tab SQL und auf alle SQL-Fehler zugreifen, die durch ihre Abfragen verursacht wurden. |
see_lookml |
see_looks |
Modellspezifisch | Nutzer haben Lesezugriff auf LookML. Nutzer müssen diese Berechtigung haben, damit der Link Zu LookML im Bereich Verwaltung angezeigt wird.Wenn ein Nutzer LookML bearbeiten soll, müssen Sie ihm außerdem die Berechtigung develop erteilen. HINWEIS: Diese Berechtigung interagiert möglicherweise auf unerwartete Weise mit Modellsätzen. Wenn Sie einem Nutzer die Berechtigung see_lookml zuweisen und ihm erlauben, alle Modelle in einem Projekt zu sehen, kann er die LookML für alle Modelle in diesem Projekt aufrufen. Sie können jedoch weiterhin keine Abfragen zu Modellen stellen, die Sie nicht zugelassen haben. |
develop |
see_lookml |
Modellspezifisch | Nutzer können lokale Änderungen an LookML vornehmen, diese Änderungen aber nur für alle freigeben, wenn sie auch die Berechtigung deploy haben. Diese Berechtigung ist erforderlich, damit die Option Support anfordern im Menü Hilfe angezeigt wird und Sie Metadaten in der Looker IDE sehen können. Nutzer benötigen diese Berechtigung auch, um im Zahnradmenü von Explore auf die Option Abgeleitete Tabellen neu erstellen und ausführen zuzugreifen. Diese Berechtigung ist nicht modellspezifisch. Wenn ein Nutzer diese Berechtigung für ein Modell hat, hat er in allen Modellen Zugriff auf Abgeleitete Tabellen neu erstellen und ausführen.HINWEIS: Diese Berechtigung interagiert möglicherweise auf unerwartete Weise mit Modellsätzen. Wenn Sie einem Nutzer die Berechtigung develop zuweisen und ihm erlauben, alle Modelle in einem Projekt zu sehen, kann er die LookML für alle Modelle in diesem Projekt entwickeln. Sie können jedoch weiterhin keine Abfragen zu Modellen stellen, die Sie nicht zugelassen haben. |
deploy |
develop |
Instanzweite NN | Nutzer können ihre lokalen LookML-Änderungen in die Produktion pushen, damit sie für alle verfügbar werden. |
support_access_toggle |
develop |
Instanzweite NN | Nutzer können den Zugriff von Looker-Analysten auf Ihre Looker-Instanz aktivieren oder deaktivieren. |
manage_project_models |
develop |
Modellspezifisch | Nutzer können auf der Seite Modellkonfiguration bearbeiten Modellkonfigurationen für zulässige Modelle hinzufügen, bearbeiten oder löschen. Beim Konfigurieren eines Modells können Nutzer nur Verbindungen auf Projektebene verwenden.HINWEIS: Diese Berechtigung interagiert möglicherweise auf unerwartete Weise mit Modellsätzen. Wenn Sie eine Rolle mit der Berechtigung manage_project_models erstellen, gewährt sie Zugriff auf alle Modelle, die mit einem der Modelle in den Modellsätzen der Rolle dasselbe Projekt teilen. |
use_global_connections |
manage_project_models |
Modellspezifisch | Nutzer können zulässige Modelle mit einer beliebigen projektweiten oder einer beliebigen Instanzverbindung konfigurieren. |
manage_project_connections_restricted |
develop |
Modellspezifische CM | Nutzer finden die Seite Verbindungen im Menü „Verwaltung“. Sie können projektweite Verbindungen für alle Projekte in der Modellgruppe aufrufen, bearbeiten und erstellen. Sie können jedoch nur die folgenden Verbindungseinstellungen bearbeiten:
manage_project_connections_restricted zuweisen, kann er Verbindungen auf Projektebene für alle Projekte in der Modellgruppe aufrufen, bearbeiten und erstellen. |
manage_project_connections |
manage_project_connections_restricted |
Modellspezifische CM | Nutzer finden die Seite Verbindungen im Menü „Verwaltung“. Sie können Verbindungen auf Projektebene für alle Projekte in der Modellgruppe aufrufen, bearbeiten und erstellen.HINWEIS: Diese Berechtigung interagiert möglicherweise auf unerwartete Weise mit Modellsätzen. Wenn Sie einem Nutzer die Berechtigung manage_project_connections_restricted zuweisen, kann er Verbindungen auf Projektebene für alle Projekte in der Modellgruppe aufrufen, bearbeiten und erstellen. |
use_sql_runner |
see_lookml |
Modellspezifisch | Nutzer können mit dem SQL Runner Raw-SQL-Abfragen für ihre zulässigen Verbindungen ausführen. Nutzer können auch Ergebnisse über die Option Herunterladen im Zahnradmenü von SQL Runner herunterladen, unabhängig davon, ob sie die Berechtigungen download_with_limit oder download_without_limit haben. |
clear_cache_refresh |
access_data |
Modellspezifisch | Nutzer können den Cache leeren und interne und eingebettete Dashboards, Dashboard-Kacheln, Looks und Explores aktualisieren.Die Berechtigung clear_cache_refresh wird automatisch allen vorhandenen Berechtigungsgruppen hinzugefügt, die eine der folgenden Berechtigungen enthalten: see_user_dashboards , see_lookml_dashboards oder explore . Die Berechtigung clear_cache_refresh wird nicht automatisch auf eingebettete Rollen angewendet. |
see_drill_overlay |
access_data |
Modellspezifisch | Nutzer können die Ergebnisse der Aufschlüsselung einer Dashboardkachel sehen, diese jedoch nicht untersuchen. Wenn explore gewährt wird, wird diese Berechtigung auch automatisch gewährt, auch wenn sie nicht angeklickt ist. Nutzer benötigen außerdem die Berechtigung explore , um Aufschlüsselungsergebnisse im PNG-Format herunterzuladen. |
manage_spaces |
Keine | Instanzweit CN | Nutzer können Ordner erstellen, bearbeiten, verschieben und löschen. Außerdem benötigen Nutzer die Berechtigung Zugriff verwalten, bearbeiten für den Inhaltszugriff. |
manage_homepage |
Keine | Instanzweite NN | Nutzer können die Seitenleiste bearbeiten und Inhalte hinzufügen, die alle Looker-Nutzer auf der vordefinierten Looker-Startseite sehen. |
manage_models |
Keine | Instanzweit CN | Jedem LookML-Modell wird auf der Seite LookML-Projekte verwalten eine bestimmte Gruppe von Datenbankverbindungen zugeordnet. Mit dieser Berechtigung können Nutzer diese Zuordnungen konfigurieren, neue Projekte erstellen und Projekte löschen. Nutzer, die keine Administratoren sind, erhalten mit dieser Berechtigung Zugriff auf alle Verbindungen, die von den Modellen zulässig sind, auf die sie Zugriff haben.HINWEIS: Diese Berechtigung interagiert möglicherweise auf unerwartete Weise mit Modellsätzen. Wenn Sie einem Nutzer die Berechtigung manage_models zuweisen, kann er auf alle Modelle in allen Projekten in der Instanz zugreifen. |
create_prefetches |
Keine | Instanzweit | Das Vorabladen wird dringend abgeraten. Wir empfehlen stattdessen die Verwendung von Datengruppen. |
login_special_email |
Keine | Instanzweit | Nutzer können sich mit den üblichen Anmeldedaten (E-Mail-Adresse und Passwort) anmelden, auch wenn andere Anmeldemechanismen (z. B. Google, LDAP oder SAML) in Ihrer Instanz aktiviert wurden. Das kann für Berater oder andere Personen nützlich sein, die nicht Teil Ihres normalen Authentifizierungssystems sind. |
embed_browse_spaces |
Keine | Instanzweite NN | Aktiviert den Inhaltsbrowser für signierte Einbettungen. Wenn du signierte Embeds verwendest, solltest du diese Berechtigung Nutzern gewähren, die die Berechtigung save_content haben. |
embed_save_shared_space |
Keine | Instanzweit | Ermöglicht Nutzern mit der Berechtigung save_content , Inhalte im Ordner Gemeinsam der Organisation zu speichern, sofern vorhanden. Nutzer, die die Berechtigung save_content , aber nicht die Berechtigung embed_save_shared_space haben, können Inhalte nur in ihrem persönlichen Ordner für eingebettete Inhalte speichern. |
manage_embed_settings |
Keine | Instanzweite CM | 24.0 HINZUGEFÜGT Nutzer können die Einbettungseinstellungen auf der Seite Embed (Eingebettet) im Bereich Platform (Plattform) des Menüs Admin (Verwaltung) bearbeiten. |
manage_modelsets_restricted |
Keine | Modellspezifische CM |
BETA 24.16
Nutzer können Modellen, die in einer ihrer Rollen enthalten sind, Modelle hinzufügen oder daraus entfernen.HINWEIS: Diese Berechtigung interagiert möglicherweise auf unerwartete Weise mit Modellsätzen. Wenn Sie einem Nutzer die Berechtigung manage_modelsets_restricted zuweisen und ihm Zugriff auf alle Modelle gewähren, die zu einem Projekt gehören, kann er alle Modelle in diesem Projekt Modellsätzen zuweisen, auf die er Zugriff hat. |
manage_schedules |
Keine | Modellspezifische CM | BETA 24.12 Nutzer können Zeitpläne auf der Seite Zeitpläne für die angegebenen Modelle neu zuweisen und löschen. Mit dieser Berechtigung kann ein Nutzer nicht auf die Seite Zeitplanerverlauf zugreifen. |
manage_themes |
Keine | Instanzweite CM | NEU 24.0 Nutzer können die Designeinstellungen auf der Seite Designs im Bereich Plattform des Menüs Verwaltung konfigurieren.Diese Berechtigung ist nur verfügbar, wenn für Ihre Instanz Themen aktiviert wurden. |
manage_privatelabel |
Keine | Instanzweite CM | HINZUGEFÜGT 24.0 Nutzer können die Einstellungen für das eigene Label auf der Seite Privates Label im Bereich Plattform des Menüs Verwaltung konfigurieren.Diese Berechtigung ist nur verfügbar, wenn das private Label für Ihre Instanz aktiviert wurde. |
see_alerts |
Keine | Instanzweite CM | Nutzer können im Bereich Verwaltung auf die Seiten Benachrichtigungen und Benachrichtigungsverlauf zugreifen, um alle Benachrichtigungen in einer Looker-Instanz aufzurufen. Nutzer können auf der Seite Benachrichtigungen Benachrichtigungen anderer Nutzer aufrufen, verfolgen, bearbeiten, sich selbst zuweisen und deaktivieren.Nutzer müssen Berechtigungen für den Zugriff auf die zugrunde liegenden Inhalte der Benachrichtigung haben, um sich die Visualisierung der Benachrichtigung (auf der Seite Benachrichtigungsdetails) anzusehen oder zu analysieren oder um das zugehörige Dashboard aufzurufen. Mit dieser Berechtigung können Nutzer keine Benachrichtigungen über die Dashboardkachel aufrufen, erstellen, verfolgen oder löschen. |
see_queries |
Keine | Instanzweite CM | Nutzer finden die Seite Abfragen im Bereich Verwaltung von Looker. Mit diesem Berechtigungslevel kann ein Nutzer keine Abfrage auf der Seite Abfragen beenden. |
see_logs |
Keine | Instanzweite CM | Nutzer finden die Seite Log im Bereich Verwaltung von Looker. |
see_users |
Keine | Instanzweite CM | Nutzer sehen im Bereich Verwaltung von Looker die Seite Nutzer, aber nicht die Seite Gruppen. Mit dieser Berechtigung kann ein Nutzer keine neuen Nutzer erstellen, API-Anmeldedaten ansehen oder erstellen, Passwörter zurücksetzen oder Nutzer oder Berechtigungen anderweitig ändern. Ein Nutzer mit dieser Berechtigung kann alle Nutzer in allen Gruppen in einer Instanz sehen, auch in einem geschlossenen System. Ein Nutzer kann alle Gruppen- und Rollennamen sehen, was einige Unternehmen als vertraulich betrachten. |
sudo |
see_users |
Instanzweite CM | Nutzer können sich als ein anderer Nutzer anmelden (Sudo), d. h. als dieser Nutzer handeln und vorübergehend dessen Berechtigungen übernehmen. Dazu klicken sie auf der Seite Nutzer auf die Schaltfläche Sudo.Die Berechtigung sudo erlaubt es Nutzern, die keine Administratoren sind, nicht, sudo als Administrator auszuführen. Sie können jedoch ihre Berechtigungen durch die Verwendung von sudo potenziell erhöhen. Seien Sie daher vorsichtig. |
manage_groups |
see_users |
Instanzweite CM | NEU 24.0 Nutzer können Gruppen auf der Seite Gruppen im Bereich Nutzer des Menüs Verwaltung erstellen, bearbeiten und löschen, mit Ausnahme von Gruppen, die der Rolle Administrator zugewiesen sind. |
manage_roles |
manage_groups |
Instanzweite CM | NEU 24.0 Nutzer können im Menü Verwaltung auf der Seite Rollen im Bereich Nutzer Rollen erstellen, bearbeiten und löschen, mit Ausnahme der Rolle Administrator. Nutzer können weiterhin keine Berechtigungs- oder Modellsätze erstellen, bearbeiten oder löschen. |
manage_user_attributes |
see_users |
Instanzweite CM | HINZUGEFÜGT 24.0 Nutzer können Nutzerattribute auf der Seite Nutzerattribute im Bereich Nutzer des Menüs Verwaltung erstellen, bearbeiten und löschen. |
see_schedules |
Keine | Instanzweite CM | Nutzer können die Seiten Zeitpläne und Zeitplanverlauf im Bereich Verwaltung in Looker aufrufen. Mit diesem Berechtigungslevel können Nutzer die Zeitpläne anderer Nutzer auf den Seiten Zeitpläne und Zeitplanverlauf nicht neu zuweisen, bearbeiten oder löschen. |
see_pdts |
Keine | Verbindungsspezifisch | Nutzer können die Seite Persistente abgeleitete Tabellen im Bereich Verwaltung in Looker aufrufen und sich Informationen zu PDTs aus Projekten ansehen, die eine Verbindung zu Modellen verwenden, auf die sie Datenzugriff haben.Diese Berechtigung ist im Standard-Berechtigungssatz für Entwickler für neue Looker-Installationen enthalten.Diese Berechtigung gilt für Verbindungen, auf die Nutzer Datenzugriff haben, und nicht für die gesamte Looker-Instanz oder für einzelne Modelle oder Modellsätze. |
see_datagroups |
Keine | Modellspezifisch | Nutzer finden die Seite Datengruppen in Looker im Bereich Verwaltung. Nutzer können Verbindungsnamen, Modellnamen und andere Informationen zu Datengruppen sehen, die in einem Modell definiert sind, für das sie Datenzugriff haben.Diese Berechtigung wird auf einzelne Modelle oder Modellsätze angewendet, nicht auf die gesamte Looker-Instanz oder auf Verbindungen. |
update_datagroups |
see_datagroups |
Modellspezifisch | Nutzer können eine Datengruppe über die Seite „Datengruppen“ im Bereich Verwaltung in Looker auslösen oder ihren Cache zurücksetzen. Wie Nutzer mit der Berechtigung see_datagroups können Nutzer mit der Berechtigung update_datagroups Datengruppen sehen, die in Projekten definiert sind, in denen ein Modell verwendet wird, für das sie Datenzugriff haben.Diese Berechtigung wird auf einzelne Modelle oder Modellsätze angewendet, nicht auf die gesamte Looker-Instanz oder auf Verbindungen. |
see_system_activity |
Keine | Instanzweite CM | Nutzer können auf die Explores und Dashboards zur Systemaktivität sowie auf die interne Datenbank i__looker zugreifen, um sich Nutzungsdaten, Verlaufsdaten und andere Metadaten zu einer Looker-Instanz anzusehen. |
see_admin |
Keine | Instanzweite CM | Nutzer können Lesezugriff auf Administratorressourcen haben, einschließlich Seiten im Bereich Verwaltung, mit Ausnahme der folgenden Seiten:
|
mobile_app_access |
Keine | Instanzweite NN | Nutzer können sich über die Looker App auf einem Mobilgerät in Ihrer Instanz anmelden. Damit Nutzer sich in der Looker App anmelden können, muss die Option Zugriff auf mobile App auf der Seite Allgemeine Einstellungen im Bereich Verwaltung in Looker aktiviert sein.Die Berechtigung mobile_app_access kann einem neuen oder vorhandenen Berechtigungssatz hinzugefügt werden. Sie ist Teil aller Standardberechtigungssätze von Looker. |
Modellsätze
Mit einem Modellsatz wird festgelegt, welche Daten und LookML-Felder ein Nutzer oder eine Gruppe sehen kann. Jeder Satz ist eine Liste von LookML-Modellen, auf die ein Nutzer oder eine Gruppe Zugriff haben soll. Ein Modellsatz erfüllt zwei Funktionen:
- Mit einem Modellsatz wird festgelegt, für welche Modelle in Ihrer LookML-Anwendung die Berechtigungen gelten (falls diese Berechtigungen modellinspezifisch sind).
- Mit einem Modellsatz wird festgelegt, welche Daten und LookML-Felder ein Nutzer sehen kann, da jedes Modell mit einer bestimmten Datenbankverbindung verbunden ist und bestimmte LookML-Felder enthält.
Modellsatz erstellen
So erstellen Sie ein Modellset:
Klicken Sie oben auf der Seite Rollen auf die Schaltfläche Neues Modellset.
In Looker wird die Seite Neues Modellsatz angezeigt. Geben Sie einen Namen für die neue Modellgruppe ein.
Wählen Sie die Modelle aus, die in die neue Modellgruppe aufgenommen werden sollen.
Klicken Sie unten auf der Seite auf die Schaltfläche Neues Modellset. Der neue Modellsatz wird auf der Seite Rollen im Abschnitt Modellsätze angezeigt.
Modelle, die in ausstehenden Projekten enthalten sind, werden in der Liste Modelle auf den Seiten Neues Modellset und Modellset bearbeiten angezeigt.
Wenn Sie ein Modell löschen oder umbenennen, ändert sich nichts an den Modellsätzen, die dieses Modell enthalten. Wenn ein Modell entfernt oder umbenannt wird, empfehlen wir Looker-Administratoren, den Namen dieses Modells auch aus allen zugehörigen Modellsätzen zu entfernen. Rufen Sie dazu die Seite Modellsatz bearbeiten auf. Wenn Sie den Namen eines gelöschten Modells aus einer Modellgruppe entfernen, wird verhindert, dass ein neues Modell mit demselben Namen versehentlich in diese Modellgruppe aufgenommen wird.
Weitere Informationen zu Modellen finden Sie auf der Dokumentationsseite Modellparameter.
Mehrere Modelle und Modellsätze erstellen
Das folgende Beispiel zeigt, wie Sie mit mehreren Modellsätzen den Zugriff auf Daten einschränken können. Stellen Sie sich ein Szenario vor, in dem Sie zwei Teams haben, Marketing und Support. In diesem Beispiel sollten diese beiden Teams keinen Zugriff auf das gesamte Modell haben. Daher erstellen Sie für jedes Team ein separates Modell. So trennen Sie den Datenzugriff:
- Kopieren Sie das Modell in zwei neue Modelle.
- Fügen Sie dem ersten der neuen Modelle nur die Ansichten, Felder und Explores hinzu, auf die das Marketingteam zugreifen soll.
- Erstellen Sie für das Marketingteam ein Modellset, das nur dieses neue Modell enthält.
- Erstellen Sie eine neue Rolle für das Marketingteam, die diese neue Modellgruppe und die entsprechenden Berechtigungen für das Marketingteam enthält.
- Weisen Sie diese neue Rolle der Gruppe „Marketingteam“ zu.
- Wiederholen Sie die Schritte 2 bis 5, um das zweite Modell für das Supportteam zu konfigurieren.
Modellsatz bearbeiten
So bearbeiten Sie ein Modellset:
Klicken Sie auf der Seite Rollen rechts neben dem Modellsatz, den Sie bearbeiten möchten, auf die Schaltfläche Bearbeiten.
In Looker wird die Seite Modellsatz bearbeiten angezeigt. Geben Sie im Feld Name einen neuen Namen für das Modell ein.
Fügen Sie im Bereich Modelle Modelle zum Modellsatz hinzu oder entfernen Sie sie daraus.
Klicken Sie unten auf der Seite auf die Schaltfläche Modellsatz aktualisieren.
Modelle, die in ausstehenden Projekten enthalten sind, werden in der Liste Modelle auf den Seiten Neues Modellset und Modellset bearbeiten angezeigt.
Wenn Sie ein Modell löschen oder umbenennen, ändert sich nichts an den Modellsätzen, die dieses Modell enthalten. Wenn ein Modell entfernt oder umbenannt wird, empfehlen wir Looker-Administratoren, den Namen dieses Modells auch aus allen zugehörigen Modellsätzen zu entfernen. Rufen Sie dazu die Seite Modellsatz bearbeiten auf. Wenn Sie den Namen eines gelöschten Modells aus einer Modellgruppe entfernen, wird verhindert, dass ein neues Modell mit demselben Namen versehentlich in diese Modellgruppe aufgenommen wird.
Modellsatz löschen
Wenn Sie eine Modellgruppe löschen möchten, klicken Sie auf der Seite Rollen rechts neben der Modellgruppe, die Sie löschen möchten, auf Löschen.