Administratoreinstellungen – Rollen

Mit Rollen, Berechtigungssätzen und Modellsätzen wird verwaltet, was Nutzer tun und sehen können. Auf der Seite Rollen im Bereich Nutzer des Bereichs Verwaltung können Sie Rollen, Berechtigungssätze und Modellsätze aufrufen, konfigurieren und zuweisen.

Sie können nach bestimmten Rollen, Berechtigungsgruppen und Modellgruppen suchen, indem Sie oben rechts einen Suchbegriff in das Suchfeld eingeben und die Eingabetaste drücken.

Definitionen

  • Eine Rolle definiert die Berechtigungen, die ein Nutzer oder eine Gruppe für eine bestimmte Gruppe von Modellen in Looker hat. Sie erstellen eine Rolle, indem Sie eine Berechtigungsgruppe mit einer Modellgruppe kombinieren.
  • Mit einem Berechtigungssatz wird festgelegt, was ein Nutzer oder eine Gruppe tun kann. Sie wählen eine Kombination von Berechtigungen aus, die Sie einem Nutzer oder einer Gruppe zuweisen möchten. Sie muss als Teil einer Rolle verwendet werden, um eine Wirkung zu erzielen.
  • Mit einem Modellsatz wird festgelegt, welche Daten und LookML-Felder ein Nutzer oder eine Gruppe sehen kann. Sie wählen eine Kombination von LookML-Modellen aus, auf die ein Nutzer oder eine Gruppe Zugriff haben soll. Sie muss als Teil einer Rolle verwendet werden, um eine Wirkung zu erzielen.

Rollen zuweisen

Eine Rolle ist eine Kombination aus einer Berechtigungs- und einer Modellgruppe. Es ist üblich, Rollen nach Personentypen oder Personengruppen in Ihrer Organisation zu benennen, z. B. Administrator, Looker-Entwickler oder Finanzteam. Sie können aber auch Ihre eigenen Benennungskonventionen verwenden.

Ein Nutzer kann in Looker mehrere Rollen haben. Das kann nützlich sein, wenn Nutzer in Ihrem Unternehmen mehrere Rollen haben oder wenn Sie komplexe Zugriffssysteme für Ihre Modelle erstellen möchten.

Rollen erstellen, bearbeiten und löschen

So erstellen Sie eine Rolle:

  1. Klicken Sie oben auf der Seite Rollen auf die Schaltfläche Neue Rolle.

  2. In Looker wird die Seite Neue Rolle angezeigt, auf der Sie die folgenden Einstellungen konfigurieren können:

    • Name: Geben Sie einen Namen für die Rolle ein.
    • Berechtigungssatz: Wählen Sie einen Berechtigungssatz aus, der der Rolle zugewiesen werden soll.
    • Modellsatz: Wählen Sie einen Modellsatz aus, der der Rolle zugewiesen werden soll.
    • Gruppen: Optional können Sie eine oder mehrere Gruppen auswählen, denen die Rolle zugewiesen werden soll.
    • Nutzer: Optional können Sie einen oder mehrere Nutzer auswählen, denen die Rolle zugewiesen werden soll.

  3. Wenn Sie die Rolle wie gewünscht konfiguriert haben, klicken Sie unten auf der Seite auf die Schaltfläche Neue Rolle.

Nachdem eine Rolle erstellt wurde, können Sie sie bearbeiten, indem Sie auf der Seite Rollen rechts neben der Rolle auf die Schaltfläche Bearbeiten klicken. Wenn Sie auf Bearbeiten klicken, gelangen Sie zur Seite Rolle bearbeiten für diese Rolle. Dort können Sie den Namen, die Berechtigungsgruppe, die Modellgruppe und die Gruppen oder Nutzer bearbeiten, die der Rolle zugewiesen sind.

Wenn Sie eine Rolle löschen möchten, klicken Sie auf der Seite Rollen rechts neben der Rolle auf die Schaltfläche Löschen.

Standardrollen

Für neue Instanzen erstellt Looker die folgenden Standardrollen, die jeweils einen Standardberechtigungssatz mit demselben Namen enthalten:

  • Admin
  • Entwickler
  • Erweiterter Support-Editor
  • Support Basic Editor
  • Nutzer
  • Betrachter

Die Rollen Erweiterter Support-Bearbeiter und Einfacher Support-Bearbeiter können nicht bearbeitet, gelöscht oder anderen Nutzern als Nutzer mit Supportzugriff zugewiesen werden.

Berechtigungssätze

Mit einer Berechtigungsgruppe wird festgelegt, was ein Nutzer oder eine Gruppe tun darf. Administratoren können die Standardberechtigungsgruppen von Looker verwenden oder eigene Berechtigungsgruppen erstellen. Dabei müssen sie die Abhängigkeiten von Berechtigungen berücksichtigen.

Alle verfügbaren Berechtigungen und ihre Typen werden in der Liste der Berechtigungen ausführlicher erläutert.

Standardberechtigungssätze

Bei neuen Installationen enthält Looker mehrere Standardberechtigungssätze, mit denen Sie beginnen können:

Berechtigungssatz Enthaltene Berechtigungen
Administrator Alle Berechtigungen
Entwickler access_data, can_create_forecast, clear_cache_refresh, create_custom_fields, create_table_calculations, deploy, develop, download_without_limit, explore, manage_spaces, mobile_app_access, save_content, save_dashboards, save_looks, schedule_look_emails, see_drill_overlay, see_lookml, see_lookml_dashboards,see_looks, see_pdts, see_sql, see_user_dashboards, send_to_integration, use_sql_runner

HINWEIS: Die Berechtigung see_pdts ist nur für Looker-Installationen, die mit Looker 21.18 oder höher erstellt wurden, in der Standardberechtigung Entwickler enthalten. Ob die Berechtigung see_pdts in der Rolle Entwickler enthalten ist, die für Ihre Instanz festgelegt ist, sehen Sie in der Looker-Benutzeroberfläche im Bereich Verwaltung auf der Seite Rollen.
Erweiterten Editor unterstützen access_data, clear_cache_refresh, create_custom_fields, create_table_calculations, develop, explore, follow_alerts, manage_embed_settings, manage_models, manage_privatelabel, manage_project_connections, manage_project_connections_restricted, manage_project_models, manage_themes, see_admin, see_alerts, see_datagroups, see_drill_overlay, see_logs, see_lookml, see_lookml_dashboards, see_looks, , , , see_sql, see_system_activity, see_user_dashboards, see_users, update_datagroups, use_global_connectionssee_pdtssee_queriessee_schedules

HINWEIS: Die Berechtigungsgruppe Support Advanced Editor ist nicht verfügbar, wenn die Labs-Funktion Tiered Support Access deaktiviert ist. Die Berechtigungsgruppe Support Advanced Editor kann nicht bearbeitet oder gelöscht werden.
Support Basic Editor access_data, clear_cache_refresh, create_custom_fields, create_table_calculations, explore, follow_alerts, manage_privatelabel, manage_themes, see_admin, see_alerts, see_drill_overlay, see_logs, see_lookml, see_lookml_dashboards, see_looks, see_pdts, see_schedules, see_sql, see_datagroups, see_system_activity, see_user_dashboards, see_users

HINWEIS: Die Berechtigungsgruppe Support Basic Editor ist nicht verfügbar, wenn die Labs-Funktion Tiered Support Access deaktiviert ist. Die Berechtigungsgruppe Support Basic Editor kann nicht bearbeitet oder gelöscht werden.
Nutzer eines LookML-Dashboards access_data, clear_cache_refresh, mobile_app_access, see_lookml_dashboards, send_to_integration
Nutzer access_data, can_create_forecast, clear_cache_refresh, create_custom_fields, create_table_calculations, download_without_limit, explore, manage_spaces, mobile_app_access, save_content, save_dashboards, save_looks, schedule_look_emails, see_drill_overlay, see_lookml, see_lookml_dashboards, see_looks, see_sql, see_user_dashboards, send_to_integration
Nutzer, der LookML nicht aufrufen kann access_data, can_create_forecast, clear_cache_refresh, create_custom_fields, create_table_calculations, download_without_limit, explore, manage_spaces, mobile_app_access, save_content, save_dashboards, save_looks, schedule_look_emails, see_lookml_dashboards, see_looks, see_user_dashboards, send_to_integration
Betrachter access_data, clear_cache_refresh, download_without_limit, mobile_app_access, schedule_look_emails, see_drill_overlay, see_lookml_dashboards, see_looks, see_user_dashboards

Diese Berechtigungssätze werden als Optionen angezeigt, wenn Sie eine neue Rolle erstellen. Wenn Sie einen dieser Berechtigungssätze auswählen, wird in Looker eine Liste der enthaltenen Berechtigungen angezeigt.

Die Berechtigungsgruppe „Administrator“ kann nicht bearbeitet oder gelöscht und keiner Rolle zugewiesen werden. Sie wird nur der Rolle „Administrator“ zugewiesen, die ebenfalls nicht bearbeitet oder gelöscht werden kann. Die Administratorberechtigung kann nur einem Nutzer oder einer Gruppe gewährt werden, indem Sie diesem Nutzer oder dieser Gruppe die Rolle „Administrator“ zuweisen.

Berechtigungssätze erstellen

Wenn Sie einen Berechtigungssatz erstellen möchten, klicken Sie oben auf der Seite Rollen auf die Schaltfläche Neuer Berechtigungssatz. In Looker wird eine Seite angezeigt, auf der Sie einen Namen für die Berechtigungsgruppe eingeben und die Berechtigungen auswählen können, die sie enthalten soll. Wenn Sie den Satz wie gewünscht konfiguriert haben, klicken Sie unten auf der Seite auf die Schaltfläche Neuer Berechtigungssatz.

Nachdem eine Berechtigungsgruppe erstellt wurde, können Sie sie bearbeiten oder löschen. Klicken Sie dazu auf der Seite Rollen rechts neben der Berechtigungsgruppe auf die Schaltflächen Bearbeiten oder Löschen.

Berechtigungen und Abhängigkeiten

Einige Berechtigungen sind für die ordnungsgemäße Funktion von anderen abhängig. Es ist beispielsweise sinnvoll, dass jemand, der in LookML entwickeln möchte, zuerst LookML sehen kann.

Wenn Sie eine Berechtigungsgruppe erstellen, werden die verfügbaren Berechtigungen in einer eingerückten Liste angezeigt. Wenn eine Berechtigung unter einer anderen (übergeordneten) Berechtigung eingerückt ist, müssen Sie zuerst die übergeordnete Berechtigung auswählen. Die Berechtigungsliste könnte so aussehen:

☑️ access_data
  ☑️ see_lookml_dashboards
  ☑️ see_looks
    ☑️ see_user_dashboards

In diesem Beispiel wird in Looker durch Einzüge Folgendes angezeigt:

  • Das access_data-Berechtigung kann jederzeit ausgewählt werden.
  • Für die Berechtigungen see_lookml_dashboards und see_looks muss zuerst die Berechtigung access_data ausgewählt werden.
  • Das see_user_dashboards-Berechtigung hängt vom see_looks-Berechtigung ab, das wiederum vom access_data-Berechtigung abhängt.

Sie können ein untergeordnetes Berechtigungsobjekt nicht auswählen, ohne zuerst das übergeordnete Objekt auszuwählen.

Berechtigungen und Looker-Lizenzen

Looker-Lizenzen unterteilen Nutzer in drei Typen:

  • Entwickler (Administrator)
  • Standard (Creator)
  • Betrachter

Die Berechtigungen, die einem Nutzer gewährt werden, bestimmen, wie dieser Nutzer gemäß der Looker-Lizenz klassifiziert wird:

Berechtigungsliste

Die folgenden Berechtigungen interagieren auf möglicherweise unerwartete Weise mit Modellsätzen:

In der IDE von Looker kann ein einzelnes Projekt mehrere Modelldateien enthalten. Wenn Sie einem Nutzer die Berechtigungen develop oder see_lookml zuweisen und ihm erlauben, alle Modelle zu sehen, die zu einem Projekt gehören, kann er die LookML für alle Modelle in diesem Projekt entwickeln oder aufrufen. Sie können jedoch weiterhin keine Abfragen zu Modellen stellen, die Sie nicht zugelassen haben.

Wenn Sie einem Nutzer die Berechtigung manage_models zuweisen, kann er auf alle Modelle in allen Projekten in der Instanz zugreifen.

Wenn Sie einem Nutzer die Berechtigung manage_modelsets_restricted zuweisen, kann er jedem Modell in einem Projekt, auf das er Zugriff hat, eine Kennung zuweisen.

Wenn Sie einem Nutzer die Berechtigungen manage_project_connections_restricted oder manage_project_connections zuweisen, kann er Verbindungen auf Projektebene für alle Projekte in der Modellgruppe aufrufen, bearbeiten und erstellen.

Berechtigungen können in drei Typen unterteilt werden:

  • Modellspezifisch:Dieser Berechtigungstyp gilt nur für die Modellsätze, die zu derselben Rolle gehören. Diese Berechtigung wird auf einzelne Modelle oder Modellsätze angewendet, nicht auf die gesamte Looker-Instanz.
  • Verbindungsspezifisch:Dieser Berechtigungstyp wird auf Verbindungsebene angewendet. Nutzer mit dieser Berechtigung sehen auf Seiten im Bereich Verwaltung Inhalte, für die eine Verbindung zu einem Modell verwendet wird, auf das sie Datenzugriff haben, auch wenn diese Verbindung für ein anderes Modell verwendet wird, auf das sie keinen Datenzugriff haben.
  • Instanzweit:Dieser Berechtigungstyp gilt für die Looker-Instanz insgesamt und umfasst drei Typen:
    • NN = Kein Inhaltszugriff, kein Menüzugriff: Mit diesen Berechtigungen können Nutzer bestimmte Funktionen in der gesamten Looker-Instanz ausführen, aber nicht auf Inhalte zugreifen, die auf Modellen basieren, die nicht im Modellsatz ihrer Rolle enthalten sind.
    • CN = Zugriff auf Inhalte, kein Menüzugriff: Mit diesen Berechtigungen können Nutzer auf Inhalte zugreifen und Informationen in der gesamten Looker-Instanz abfragen – auch für Inhalte und Abfragen, die auf Modellen basieren, die nicht im Modellsatz ihrer Rolle enthalten sind.
    • CM = Zugriff auf Inhalte, Menüzugriff: Mit diesen Berechtigungen können Teile des Menüs „Verwaltung“ für Nutzer ohne Administratorrechte freigegeben werden. Außerdem können Nutzer Informationen zu Inhalten und Abfragen auf Grundlage von Modellen sehen, die nicht im Modellsatz ihrer Rolle enthalten sind.

In der folgenden Liste werden alle Berechtigungen beschrieben, die in Looker verfügbar sind, in der Reihenfolge, in der sie auf der Seite Neue Berechtigungsgruppe im Bereich Verwaltung angezeigt werden:

Berechtigung Abhängig von Typ Definition
access_data Keine Modellspezifisch Nutzer können auf Daten aus Looker zugreifen, aber nur auf die Daten, die Administratoren angeben. Diese Berechtigung ist für fast alle Looker-Funktionen erforderlich.

Ein Nutzer mit dieser Berechtigung kann, wenn er Zugriff auf ein Modell in einem bestimmten Projekt hat, auf jede Datei im Bereich Daten dieses Projekts zugreifen, z. B. auf eine benutzerdefinierte JSON-Kartendatei.
see_lookml_dashboards access_data Modellspezifisch Nutzer sehen den LookML-Ordner Dashboards, der alle LookML-Dashboards enthält. Nutzer benötigen die Berechtigung explore für alle relevanten Modelle, um diese Dashboards zu analysieren. Nutzer, die auch die Berechtigung develop haben, können LookML-Dashboards erstellen.
see_looks access_data Modellspezifisch Nutzer können gespeicherte Looks (aber keine Dashboards) in Ordnern sehen. Nutzer benötigen die Berechtigung explore für alle relevanten Modelle, um diese Looks zu analysieren. Außerdem benötigen Nutzer die Zugriffsebene Anzeigen, um Looks in Ordnern sehen zu können.
see_user_dashboards see_looks Modellspezifisch Nutzer können sich nutzerdefinierte Dashboards in Ordnern ansehen, benötigen aber die Berechtigung explore für alle relevanten Modelle, um diese Dashboards zu analysieren. Außerdem benötigen Nutzer den Inhaltszugriff Anzeigen, um Dashboards in Ordnern sehen zu können. Nutzer, die sowohl die Berechtigung save_dashboards als auch den Inhaltszugriff Zugriff verwalten, Bearbeiten für einen Ordner haben, können in diesem Ordner nutzerdefinierte Dashboards erstellen.
explore see_looks Modellspezifisch Nutzer können auf die Explore-Seite zugreifen und sie verwenden, um Looks und Dashboards zu erstellen. Ohne diese Berechtigung können Nutzer nur gespeicherte Dashboards aufrufen, sofern see_lookml_dashboards oder see_user_dashboards gewährt wurde.
create_table_calculations explore Instanzweite NN Nutzer können Tabellenberechnungen aufrufen, bearbeiten oder hinzufügen.
create_custom_fields explore Instanzweite NN Nutzer können benutzerdefinierte Felder aufrufen, bearbeiten oder hinzufügen. Nutzer mit der Berechtigung explore können benutzerdefinierte Felder nur aufrufen.
can_create_forecast explore Instanzweite NN Nutzer können Prognosen in Visualisierungen erstellen und bearbeiten. Nutzer ohne diese Berechtigung können nur vorhandene Prognosen in den Inhalten aufrufen, auf die sie Zugriff haben.
can_override_vis_config explore Instanzweite NN Nutzer können auf den Diagramm-Konfigurationseditor zugreifen, um die Highchart API JSON-Werte einer Visualisierung zu ändern und das Aussehen und Format der Visualisierung anzupassen.
save_content see_looks Instanzweite NN Diese Berechtigung ist eine übergeordnete Berechtigung von save_dashboards, save_looks und create_public_looks. Diese Berechtigung muss mit save_dashboards oder save_looks erteilt werden.
save_dashboards save_content Instanzweite NN NEU 24.4 Nutzer können Dashboards speichern und bearbeiten. Nutzer benötigen die Berechtigung explore für alle relevanten Modelle, die in diesen Dashboards explorative Datenanalysen enthalten. Nutzer benötigen die Berechtigungen download_with_limit und/oder download_without_limit, um die Inhalte herunterladen zu können.
save_looks save_content Instanzweite NN NEU 24.4 Nutzer können Looks speichern und bearbeiten. Nutzer benötigen die Berechtigung explore für alle relevanten Modelle, die in diesen Looks untersucht werden sollen. Nutzer benötigen die Berechtigungen download_with_limit und/oder download_without_limit, um die Inhalte herunterladen zu können.
create_public_looks save_looks Modellspezifisch Nutzer können einen gespeicherten Look als öffentlich kennzeichnen. Dadurch werden URLs generiert, über die ohne Authentifizierung auf diesen Look zugegriffen werden kann.
download_with_limit see_looks Modellspezifisch Nutzer können Abfragen herunterladen (als CSV-, Excel- und andere Formate). Sie müssen jedoch ein Zeilenlimit von maximal 5.000 angeben, um Speicherprobleme durch große Downloads auf der Instanz zu vermeiden.
download_without_limit see_looks Modellspezifisch Entspricht download_with_limit, aber der Nutzer muss kein Zeilenlimit angeben. Das Herunterladen aller Ergebnisse für einige Arten von Abfragen kann viel Arbeitsspeicher erfordern und zu Leistungsproblemen oder sogar zum Absturz der Looker-Instanz führen.
schedule_look_emails see_looks Modellspezifisch Nutzer können alle Looks, Dashboards und Abfragen mit Visualisierungen, auf die sie Datenzugriff haben, per E-Mail versenden. Nutzer können die Übermittlung so planen, dass sie nach dem Auslösen einer Datengruppe erfolgt, der Cache verwaltet und die relevanten PDTs neu erstellt wurden.

Um Dashboards zur Systemaktivität zu senden oder zu planen, müssen Nutzer Zugriff auf alle Modelle haben.

Nutzer, die auch create_alerts-Berechtigungen haben, können E-Mail-Benachrichtigungen senden.

Looker-Administratoren können die E-Mail-Domains verwalten, an die Looker-Nutzer und eingebettete Nutzer E-Mails senden können. Dazu verwenden sie die Zulassungsliste für E-Mail-Domains auf der Seite Einstellungen im Bereich Verwaltung.

Diese Berechtigung wird auf einzelne Modelle oder Modellsätze angewendet, nicht auf die gesamte Looker-Instanz.
schedule_external_look_emails schedule_look_emails Modellspezifisch Nutzer können Looker-Objekte, Dashboards und Abfragen mit Visualisierungen per E-Mail versenden, auf die sie Datenzugriff haben. Nutzer können die Übermittlung so planen, dass sie nach dem Auslösen einer Datengruppe erfolgt, der Cache verwaltet und die relevanten PDTs neu erstellt wurden.

Um Dashboards zur Systemaktivität zu senden oder zu planen, müssen Nutzer Zugriff auf alle Modelle haben.

Nutzer mit create_alerts-Berechtigungen können E-Mail-Benachrichtigungen senden.

Nutzer können E-Mails mit Inhaltsübermittlungen oder Benachrichtigungen an E-Mail-Adressen mit beliebiger Domain senden, unabhängig davon, ob die Zulassungsliste für E-Mail-Domains auf der Seite Einstellungen im Bereich Verwaltung E-Mail-Domains enthält, die auf der Zulassungsliste stehen.

Diese Berechtigung wird auf einzelne Modelle oder Modellsätze angewendet, nicht auf die gesamte Looker-Instanz.
create_alerts see_looks Instanzweite NN Über die Dashboard-Kachel können Nutzer eigene Benachrichtigungen erstellen, duplizieren und löschen. Außerdem können sie Benachrichtigungen sehen und duplizieren, die von anderen Nutzern als Öffentlich gekennzeichnet wurden. Der Nutzer muss in Slack angemeldet sein, um Benachrichtigungen zu sehen, die über Dashboard-Kacheln an Slack gesendet werden. Nutzer können auf der Seite Benachrichtigungen verwalten Benachrichtigungen aufrufen, bearbeiten, deaktivieren und aktivieren. Nutzer benötigen die Berechtigung schedule_look_emails oder schedule_external_look_emails, um E-Mail-Benachrichtigungen senden zu können.
follow_alerts see_looks Instanzweite NN Nutzer können Warnungen ansehen und folgen. Auf der Seite Benachrichtigungen verwalten können Sie sich die Benachrichtigungen ansehen, denen der Nutzer folgt oder für die er als Empfänger aufgeführt ist.
send_to_s3 see_looks Modellspezifisch Nutzer können alle Looks, Dashboards und Abfragen mit Visualisierungen bereitstellen, für die sie Datenzugriff auf einen Amazon S3-Bucket haben. Nutzer können die Übermittlung so planen, dass sie nach dem Auslösen einer Datengruppe erfolgt, der Cache verwaltet und die relevanten PDTs neu erstellt wurden.

Diese Berechtigung wird auf einzelne Modelle oder Modellsätze angewendet, nicht auf die gesamte Looker-Instanz.
send_to_sftp see_looks Modellspezifisch Nutzer können alle Looks, Dashboards und Abfragen mit Visualisierungen, auf die sie Datenzugriff haben, an einen SFTP-Server übertragen. Nutzer können die Übermittlung so planen, dass sie nach dem Auslösen einer Datengruppe erfolgt, der Cache verwaltet und die relevanten PDTs neu erstellt wurden.

Diese Berechtigung wird auf einzelne Modelle oder Modellsätze angewendet, nicht auf die gesamte Looker-Instanz.
send_outgoing_webhook see_looks Modellspezifisch Nutzer können Looker-Objekte, Dashboards und Abfragen mit Visualisierungen, auf die sie Datenzugriff haben, an einen Webhook senden. Nutzer können die Übermittlung so planen, dass sie nach dem Auslösen einer Datengruppe erfolgt, der Cache verwaltet und die relevanten PDTs neu erstellt wurden.

Diese Berechtigung wird auf einzelne Modelle oder Modellsätze angewendet, nicht auf die gesamte Looker-Instanz.
send_to_integration see_looks Modellspezifisch Nutzer können Looker-Objekte, Dashboards und Abfragen mit Visualisierungen über den Looker Action Hub freigeben, für die sie Datenzugriff auf die mit Looker integrierten Drittanbieterdienste haben. Wenn Sie benutzerdefinierte Aktionen mit Nutzerattributen verwenden, müssen Nutzer diese Berechtigung und einen nicht nullwertigen und gültigen Nutzerattributwert für das angegebene Nutzerattribut haben, damit Looker-Inhalte an das Ziel der Aktion gesendet werden. Diese Berechtigung bezieht sich nicht auf Datenaktionen. Nutzer können die Übermittlung so planen, dass sie nach dem Auslösen einer Datengruppe erfolgt, der Cache verwaltet und die relevanten PDTs neu erstellt wurden.

Diese Berechtigung wird auf einzelne Modelle oder Modellsätze angewendet, nicht auf die gesamte Looker-Instanz.
see_sql see_looks Modellspezifisch Nutzer können während der explorativen Datenanalyse auf den Tab SQL und auf alle SQL-Fehler zugreifen, die durch ihre Abfragen verursacht wurden.
see_lookml see_looks Modellspezifisch Nutzer haben Lesezugriff auf LookML. Nutzer müssen diese Berechtigung haben, damit der Link Zu LookML im Bereich Verwaltung angezeigt wird.

Wenn ein Nutzer LookML bearbeiten soll, müssen Sie ihm außerdem die Berechtigung develop erteilen.

HINWEIS: Diese Berechtigung interagiert möglicherweise auf unerwartete Weise mit Modellsätzen. Wenn Sie einem Nutzer die Berechtigung see_lookml zuweisen und ihm erlauben, alle Modelle in einem Projekt zu sehen, kann er die LookML für alle Modelle in diesem Projekt aufrufen. Sie können jedoch weiterhin keine Abfragen zu Modellen stellen, die Sie nicht zugelassen haben.
develop see_lookml Modellspezifisch Nutzer können lokale Änderungen an LookML vornehmen, diese Änderungen aber nur für alle freigeben, wenn sie auch die Berechtigung deploy haben.

Diese Berechtigung ist erforderlich, damit die Option Support anfordern im Menü Hilfe angezeigt wird und Sie Metadaten in der Looker IDE sehen können. Nutzer benötigen diese Berechtigung auch, um im Zahnradmenü von Explore auf die Option Abgeleitete Tabellen neu erstellen und ausführen zuzugreifen. Diese Berechtigung ist nicht modellspezifisch. Wenn ein Nutzer diese Berechtigung für ein Modell hat, hat er in allen Modellen Zugriff auf Abgeleitete Tabellen neu erstellen und ausführen.

HINWEIS: Diese Berechtigung interagiert möglicherweise auf unerwartete Weise mit Modellsätzen. Wenn Sie einem Nutzer die Berechtigung develop zuweisen und ihm erlauben, alle Modelle in einem Projekt zu sehen, kann er die LookML für alle Modelle in diesem Projekt entwickeln. Sie können jedoch weiterhin keine Abfragen zu Modellen stellen, die Sie nicht zugelassen haben.
deploy develop Instanzweite NN Nutzer können ihre lokalen LookML-Änderungen in die Produktion pushen, damit sie für alle verfügbar werden.
support_access_toggle develop Instanzweite NN Nutzer können den Zugriff von Looker-Analysten auf Ihre Looker-Instanz aktivieren oder deaktivieren.
manage_project_models develop Modellspezifisch Nutzer können auf der Seite Modellkonfiguration bearbeiten Modellkonfigurationen für zulässige Modelle hinzufügen, bearbeiten oder löschen. Beim Konfigurieren eines Modells können Nutzer nur Verbindungen auf Projektebene verwenden.

HINWEIS: Diese Berechtigung interagiert möglicherweise auf unerwartete Weise mit Modellsätzen. Wenn Sie eine Rolle mit der Berechtigung manage_project_models erstellen, gewährt sie Zugriff auf alle Modelle, die mit einem der Modelle in den Modellsätzen der Rolle dasselbe Projekt teilen.
use_global_connections manage_project_models Modellspezifisch Nutzer können zulässige Modelle mit einer beliebigen projektweiten oder einer beliebigen Instanzverbindung konfigurieren.
manage_project_connections_restricted develop Modellspezifische CM Nutzer finden die Seite Verbindungen im Menü „Verwaltung“. Sie können projektweite Verbindungen für alle Projekte in der Modellgruppe aufrufen, bearbeiten und erstellen. Sie können jedoch nur die folgenden Verbindungseinstellungen bearbeiten: Nutzer können keine anderen Einstellungen im Bereich Zusätzliche Einstellungen bearbeiten. Außerdem dürfen sie keine Einstellungen im Bereich Persistente abgeleitete Tabellen (PDTs) bearbeiten.

HINWEIS: Diese Berechtigung interagiert möglicherweise auf unerwartete Weise mit Modellsätzen. Wenn Sie einem Nutzer die Berechtigung manage_project_connections_restricted zuweisen, kann er Verbindungen auf Projektebene für alle Projekte in der Modellgruppe aufrufen, bearbeiten und erstellen.
manage_project_connections manage_project_connections_restricted Modellspezifische CM Nutzer finden die Seite Verbindungen im Menü „Verwaltung“. Sie können Verbindungen auf Projektebene für alle Projekte in der Modellgruppe aufrufen, bearbeiten und erstellen.

HINWEIS: Diese Berechtigung interagiert möglicherweise auf unerwartete Weise mit Modellsätzen. Wenn Sie einem Nutzer die Berechtigung manage_project_connections_restricted zuweisen, kann er Verbindungen auf Projektebene für alle Projekte in der Modellgruppe aufrufen, bearbeiten und erstellen.
use_sql_runner see_lookml Modellspezifisch Nutzer können mit dem SQL Runner Raw-SQL-Abfragen für ihre zulässigen Verbindungen ausführen. Nutzer können auch Ergebnisse über die Option Herunterladen im Zahnradmenü von SQL Runner herunterladen, unabhängig davon, ob sie die Berechtigungen download_with_limit oder download_without_limit haben.
clear_cache_refresh access_data Modellspezifisch Nutzer können den Cache leeren und interne und eingebettete Dashboards, Dashboard-Kacheln, Looks und Explores aktualisieren.

Die Berechtigung clear_cache_refresh wird automatisch allen vorhandenen Berechtigungsgruppen hinzugefügt, die eine der folgenden Berechtigungen enthalten: see_user_dashboards, see_lookml_dashboards oder explore. Die Berechtigung clear_cache_refresh wird nicht automatisch auf eingebettete Rollen angewendet.
see_drill_overlay access_data Modellspezifisch Nutzer können die Ergebnisse der Aufschlüsselung einer Dashboardkachel sehen, diese jedoch nicht untersuchen. Wenn explore gewährt wird, wird diese Berechtigung auch automatisch gewährt, auch wenn sie nicht angeklickt ist. Nutzer benötigen außerdem die Berechtigung explore, um Aufschlüsselungsergebnisse im PNG-Format herunterzuladen.
manage_spaces Keine Instanzweit CN Nutzer können Ordner erstellen, bearbeiten, verschieben und löschen. Außerdem benötigen Nutzer die Berechtigung Zugriff verwalten, bearbeiten für den Inhaltszugriff.
manage_homepage Keine Instanzweite NN Nutzer können die Seitenleiste bearbeiten und Inhalte hinzufügen, die alle Looker-Nutzer auf der vordefinierten Looker-Startseite sehen.
manage_models Keine Instanzweit CN Jedem LookML-Modell wird auf der Seite LookML-Projekte verwalten eine bestimmte Gruppe von Datenbankverbindungen zugeordnet. Mit dieser Berechtigung können Nutzer diese Zuordnungen konfigurieren, neue Projekte erstellen und Projekte löschen. Nutzer, die keine Administratoren sind, erhalten mit dieser Berechtigung Zugriff auf alle Verbindungen, die von den Modellen zulässig sind, auf die sie Zugriff haben.

HINWEIS: Diese Berechtigung interagiert möglicherweise auf unerwartete Weise mit Modellsätzen. Wenn Sie einem Nutzer die Berechtigung manage_models zuweisen, kann er auf alle Modelle in allen Projekten in der Instanz zugreifen.
create_prefetches Keine Instanzweit Das Vorabladen wird dringend abgeraten. Wir empfehlen stattdessen die Verwendung von Datengruppen.
login_special_email Keine Instanzweit Nutzer können sich mit den üblichen Anmeldedaten (E-Mail-Adresse und Passwort) anmelden, auch wenn andere Anmeldemechanismen (z. B. Google, LDAP oder SAML) in Ihrer Instanz aktiviert wurden. Das kann für Berater oder andere Personen nützlich sein, die nicht Teil Ihres normalen Authentifizierungssystems sind.
embed_browse_spaces Keine Instanzweite NN Aktiviert den Inhaltsbrowser für signierte Einbettungen. Wenn du signierte Embeds verwendest, solltest du diese Berechtigung Nutzern gewähren, die die Berechtigung save_content haben.
embed_save_shared_space Keine Instanzweit Ermöglicht Nutzern mit der Berechtigung save_content, Inhalte im Ordner Gemeinsam der Organisation zu speichern, sofern vorhanden. Nutzer, die die Berechtigung save_content, aber nicht die Berechtigung embed_save_shared_space haben, können Inhalte nur in ihrem persönlichen Ordner für eingebettete Inhalte speichern.
manage_embed_settings Keine Instanzweite CM 24.0 HINZUGEFÜGT Nutzer können die Einbettungseinstellungen auf der Seite Embed (Eingebettet) im Bereich Platform (Plattform) des Menüs Admin (Verwaltung) bearbeiten.
manage_modelsets_restricted Keine Modellspezifische CM BETA 24.16 Nutzer können Modellen, die in einer ihrer Rollen enthalten sind, Modelle hinzufügen oder daraus entfernen.

HINWEIS: Diese Berechtigung interagiert möglicherweise auf unerwartete Weise mit Modellsätzen. Wenn Sie einem Nutzer die Berechtigung manage_modelsets_restricted zuweisen und ihm Zugriff auf alle Modelle gewähren, die zu einem Projekt gehören, kann er alle Modelle in diesem Projekt Modellsätzen zuweisen, auf die er Zugriff hat.
manage_schedules Keine Modellspezifische CM BETA 24.12 Nutzer können Zeitpläne auf der Seite Zeitpläne für die angegebenen Modelle neu zuweisen und löschen. Mit dieser Berechtigung kann ein Nutzer nicht auf die Seite Zeitplanerverlauf zugreifen.
manage_themes Keine Instanzweite CM NEU 24.0 Nutzer können die Designeinstellungen auf der Seite Designs im Bereich Plattform des Menüs Verwaltung konfigurieren.

Diese Berechtigung ist nur verfügbar, wenn für Ihre Instanz Themen aktiviert wurden.
manage_privatelabel Keine Instanzweite CM HINZUGEFÜGT 24.0 Nutzer können die Einstellungen für das eigene Label auf der Seite Privates Label im Bereich Plattform des Menüs Verwaltung konfigurieren.

Diese Berechtigung ist nur verfügbar, wenn das private Label für Ihre Instanz aktiviert wurde.
see_alerts Keine Instanzweite CM Nutzer können im Bereich Verwaltung auf die Seiten Benachrichtigungen und Benachrichtigungsverlauf zugreifen, um alle Benachrichtigungen in einer Looker-Instanz aufzurufen. Nutzer können auf der Seite Benachrichtigungen Benachrichtigungen anderer Nutzer aufrufen, verfolgen, bearbeiten, sich selbst zuweisen und deaktivieren.

Nutzer müssen Berechtigungen für den Zugriff auf die zugrunde liegenden Inhalte der Benachrichtigung haben, um sich die Visualisierung der Benachrichtigung (auf der Seite Benachrichtigungsdetails) anzusehen oder zu analysieren oder um das zugehörige Dashboard aufzurufen. Mit dieser Berechtigung können Nutzer keine Benachrichtigungen über die Dashboardkachel aufrufen, erstellen, verfolgen oder löschen.
see_queries Keine Instanzweite CM Nutzer finden die Seite Abfragen im Bereich Verwaltung von Looker. Mit diesem Berechtigungslevel kann ein Nutzer keine Abfrage auf der Seite Abfragen beenden.
see_logs Keine Instanzweite CM Nutzer finden die Seite Log im Bereich Verwaltung von Looker.
see_users Keine Instanzweite CM Nutzer sehen im Bereich Verwaltung von Looker die Seite Nutzer, aber nicht die Seite Gruppen. Mit dieser Berechtigung kann ein Nutzer keine neuen Nutzer erstellen, API-Anmeldedaten ansehen oder erstellen, Passwörter zurücksetzen oder Nutzer oder Berechtigungen anderweitig ändern. Ein Nutzer mit dieser Berechtigung kann alle Nutzer in allen Gruppen in einer Instanz sehen, auch in einem geschlossenen System. Ein Nutzer kann alle Gruppen- und Rollennamen sehen, was einige Unternehmen als vertraulich betrachten.
sudo see_users Instanzweite CM Nutzer können sich als ein anderer Nutzer anmelden (Sudo), d. h. als dieser Nutzer handeln und vorübergehend dessen Berechtigungen übernehmen. Dazu klicken sie auf der Seite Nutzer auf die Schaltfläche Sudo.

Die Berechtigung sudo erlaubt es Nutzern, die keine Administratoren sind, nicht, sudo als Administrator auszuführen. Sie können jedoch ihre Berechtigungen durch die Verwendung von sudo potenziell erhöhen. Seien Sie daher vorsichtig.
manage_groups see_users Instanzweite CM NEU 24.0 Nutzer können Gruppen auf der Seite Gruppen im Bereich Nutzer des Menüs Verwaltung erstellen, bearbeiten und löschen, mit Ausnahme von Gruppen, die der Rolle Administrator zugewiesen sind.
manage_roles manage_groups Instanzweite CM NEU 24.0 Nutzer können im Menü Verwaltung auf der Seite Rollen im Bereich Nutzer Rollen erstellen, bearbeiten und löschen, mit Ausnahme der Rolle Administrator. Nutzer können weiterhin keine Berechtigungs- oder Modellsätze erstellen, bearbeiten oder löschen.
manage_user_attributes see_users Instanzweite CM HINZUGEFÜGT 24.0 Nutzer können Nutzerattribute auf der Seite Nutzerattribute im Bereich Nutzer des Menüs Verwaltung erstellen, bearbeiten und löschen.
see_schedules Keine Instanzweite CM Nutzer können die Seiten Zeitpläne und Zeitplanverlauf im Bereich Verwaltung in Looker aufrufen. Mit diesem Berechtigungslevel können Nutzer die Zeitpläne anderer Nutzer auf den Seiten Zeitpläne und Zeitplanverlauf nicht neu zuweisen, bearbeiten oder löschen.
see_pdts Keine Verbindungsspezifisch Nutzer können die Seite Persistente abgeleitete Tabellen im Bereich Verwaltung in Looker aufrufen und sich Informationen zu PDTs aus Projekten ansehen, die eine Verbindung zu Modellen verwenden, auf die sie Datenzugriff haben.

Diese Berechtigung ist im Standard-Berechtigungssatz für Entwickler für neue Looker-Installationen enthalten.

Diese Berechtigung gilt für Verbindungen, auf die Nutzer Datenzugriff haben, und nicht für die gesamte Looker-Instanz oder für einzelne Modelle oder Modellsätze.
see_datagroups Keine Modellspezifisch Nutzer finden die Seite Datengruppen in Looker im Bereich Verwaltung. Nutzer können Verbindungsnamen, Modellnamen und andere Informationen zu Datengruppen sehen, die in einem Modell definiert sind, für das sie Datenzugriff haben.

Diese Berechtigung wird auf einzelne Modelle oder Modellsätze angewendet, nicht auf die gesamte Looker-Instanz oder auf Verbindungen.
update_datagroups see_datagroups Modellspezifisch Nutzer können eine Datengruppe über die Seite „Datengruppen“ im Bereich Verwaltung in Looker auslösen oder ihren Cache zurücksetzen. Wie Nutzer mit der Berechtigung see_datagroups können Nutzer mit der Berechtigung update_datagroups Datengruppen sehen, die in Projekten definiert sind, in denen ein Modell verwendet wird, für das sie Datenzugriff haben.

Diese Berechtigung wird auf einzelne Modelle oder Modellsätze angewendet, nicht auf die gesamte Looker-Instanz oder auf Verbindungen.
see_system_activity Keine Instanzweite CM Nutzer können auf die Explores und Dashboards zur Systemaktivität sowie auf die interne Datenbank i__looker zugreifen, um sich Nutzungsdaten, Verlaufsdaten und andere Metadaten zu einer Looker-Instanz anzusehen.
see_admin Keine Instanzweite CM Nutzer können Lesezugriff auf Administratorressourcen haben, einschließlich Seiten im Bereich Verwaltung, mit Ausnahme der folgenden Seiten:

  • Supportzugriff
  • Labs
  • Legacy-Funktionen
  • Exportieren
  • Zugriff auf Inhalte
  • Aktionen (wenn auf der Seite nur der aktivierte oder deaktivierte Status von Aktionen angezeigt wird)

Diese Berechtigung gewährt keinen Zugriff auf die Seiten „Systemaktivitäten“.
mobile_app_access Keine Instanzweite NN Nutzer können sich über die Looker App auf einem Mobilgerät in Ihrer Instanz anmelden. Damit Nutzer sich in der Looker App anmelden können, muss die Option Zugriff auf mobile App auf der Seite Allgemeine Einstellungen im Bereich Verwaltung in Looker aktiviert sein.

Die Berechtigung mobile_app_access kann einem neuen oder vorhandenen Berechtigungssatz hinzugefügt werden. Sie ist Teil aller Standardberechtigungssätze von Looker.

Modellsätze

Mit einem Modellsatz wird festgelegt, welche Daten und LookML-Felder ein Nutzer oder eine Gruppe sehen kann. Jeder Satz ist eine Liste von LookML-Modellen, auf die ein Nutzer oder eine Gruppe Zugriff haben soll. Ein Modellsatz erfüllt zwei Funktionen:

  1. Mit einem Modellsatz wird festgelegt, für welche Modelle in Ihrer LookML-Anwendung die Berechtigungen gelten (falls diese Berechtigungen modellinspezifisch sind).
  2. Mit einem Modellsatz wird festgelegt, welche Daten und LookML-Felder ein Nutzer sehen kann, da jedes Modell mit einer bestimmten Datenbankverbindung verbunden ist und bestimmte LookML-Felder enthält.

Modellsatz erstellen

So erstellen Sie ein Modellset:

  1. Klicken Sie oben auf der Seite Rollen auf die Schaltfläche Neues Modellset.

  2. In Looker wird die Seite Neues Modellsatz angezeigt. Geben Sie einen Namen für die neue Modellgruppe ein.

  3. Wählen Sie die Modelle aus, die in die neue Modellgruppe aufgenommen werden sollen.

  4. Klicken Sie unten auf der Seite auf die Schaltfläche Neues Modellset. Der neue Modellsatz wird auf der Seite Rollen im Abschnitt Modellsätze angezeigt.

Modelle, die in ausstehenden Projekten enthalten sind, werden in der Liste Modelle auf den Seiten Neues Modellset und Modellset bearbeiten angezeigt.

Wenn Sie ein Modell löschen oder umbenennen, ändert sich nichts an den Modellsätzen, die dieses Modell enthalten. Wenn ein Modell entfernt oder umbenannt wird, empfehlen wir Looker-Administratoren, den Namen dieses Modells auch aus allen zugehörigen Modellsätzen zu entfernen. Rufen Sie dazu die Seite Modellsatz bearbeiten auf. Wenn Sie den Namen eines gelöschten Modells aus einer Modellgruppe entfernen, wird verhindert, dass ein neues Modell mit demselben Namen versehentlich in diese Modellgruppe aufgenommen wird.

Weitere Informationen zu Modellen finden Sie auf der Dokumentationsseite Modellparameter.

Mehrere Modelle und Modellsätze erstellen

Das folgende Beispiel zeigt, wie Sie mit mehreren Modellsätzen den Zugriff auf Daten einschränken können. Stellen Sie sich ein Szenario vor, in dem Sie zwei Teams haben, Marketing und Support. In diesem Beispiel sollten diese beiden Teams keinen Zugriff auf das gesamte Modell haben. Daher erstellen Sie für jedes Team ein separates Modell. So trennen Sie den Datenzugriff:

  1. Kopieren Sie das Modell in zwei neue Modelle.
  2. Fügen Sie dem ersten der neuen Modelle nur die Ansichten, Felder und Explores hinzu, auf die das Marketingteam zugreifen soll.
  3. Erstellen Sie für das Marketingteam ein Modellset, das nur dieses neue Modell enthält.
  4. Erstellen Sie eine neue Rolle für das Marketingteam, die diese neue Modellgruppe und die entsprechenden Berechtigungen für das Marketingteam enthält.
  5. Weisen Sie diese neue Rolle der Gruppe „Marketingteam“ zu.
  6. Wiederholen Sie die Schritte 2 bis 5, um das zweite Modell für das Supportteam zu konfigurieren.

Modellsatz bearbeiten

So bearbeiten Sie ein Modellset:

  1. Klicken Sie auf der Seite Rollen rechts neben dem Modellsatz, den Sie bearbeiten möchten, auf die Schaltfläche Bearbeiten.

  2. In Looker wird die Seite Modellsatz bearbeiten angezeigt. Geben Sie im Feld Name einen neuen Namen für das Modell ein.

  3. Fügen Sie im Bereich Modelle Modelle zum Modellsatz hinzu oder entfernen Sie sie daraus.

  4. Klicken Sie unten auf der Seite auf die Schaltfläche Modellsatz aktualisieren.

Modelle, die in ausstehenden Projekten enthalten sind, werden in der Liste Modelle auf den Seiten Neues Modellset und Modellset bearbeiten angezeigt.

Wenn Sie ein Modell löschen oder umbenennen, ändert sich nichts an den Modellsätzen, die dieses Modell enthalten. Wenn ein Modell entfernt oder umbenannt wird, empfehlen wir Looker-Administratoren, den Namen dieses Modells auch aus allen zugehörigen Modellsätzen zu entfernen. Rufen Sie dazu die Seite Modellsatz bearbeiten auf. Wenn Sie den Namen eines gelöschten Modells aus einer Modellgruppe entfernen, wird verhindert, dass ein neues Modell mit demselben Namen versehentlich in diese Modellgruppe aufgenommen wird.

Modellsatz löschen

Wenn Sie eine Modellgruppe löschen möchten, klicken Sie auf der Seite Rollen rechts neben der Modellgruppe, die Sie löschen möchten, auf Löschen.