Mit Rollen, Berechtigungssätzen und Modellsätzen wird verwaltet, was Nutzer tun und sehen können. Auf der Seite Rollen im Bereich Nutzer des Bereichs Verwaltung können Sie Rollen, Berechtigungssätze und Modellsätze aufrufen, konfigurieren und zuweisen.
Sie können nach bestimmten Rollen, Berechtigungs- und Modellsätzen suchen. Geben Sie dazu einen Suchbegriff in das Suchfeld oben rechts ein und drücken Sie die Eingabetaste.
Definitionen
- Mit einer Rolle werden die Berechtigungen definiert, die ein Nutzer oder eine Gruppe für einen bestimmten Satz von Modellen in Looker hat. Sie erstellen eine Rolle, indem Sie eine Berechtigungsgruppe mit einer Modellgruppe kombinieren.
- Mit einem Berechtigungssatz wird festgelegt, was ein Nutzer oder eine Gruppe tun kann. Sie wählen eine Kombination von Berechtigungen aus, die Sie einem Nutzer oder einer Gruppe zuweisen möchten. Sie muss als Teil einer Rolle verwendet werden, um Auswirkungen zu haben.
- Ein Modellsatz definiert, welche Daten und LookML-Felder ein Nutzer oder eine Gruppe sehen kann. Sie wählen eine Kombination von LookML-Modellen aus, auf die ein Nutzer oder eine Gruppe Zugriff haben soll. Sie muss als Teil einer Rolle verwendet werden, um Auswirkungen zu haben.
Rollen zuweisen
Eine Rolle ist eine Kombination aus einer Berechtigungs- und einer Modellgruppe. Es ist üblich, Rollen nach Personentypen oder Personengruppen in Ihrer Organisation zu benennen, z. B. Administrator, Looker-Entwickler oder Finanzteam. Sie können aber auch Ihre eigenen Benennungskonventionen verwenden.
Ein Benutzer kann in Looker mehr als eine Rolle haben. Das kann nützlich sein, wenn Nutzer mehrere Rollen in Ihrem Unternehmen haben oder wenn Sie komplexe Zugriffssysteme für Ihre Modelle erstellen möchten.
Rollen erstellen, bearbeiten und löschen
So erstellen Sie eine Rolle:
- Klicken Sie oben auf der Seite Rollen auf die Schaltfläche Neue Rolle.
In Looker wird die Seite Neue Rolle angezeigt, auf der Sie die folgenden Einstellungen konfigurieren können:
- Name: Geben Sie einen Namen für die Rolle ein.
- Berechtigungssatz: Wählen Sie einen Berechtigungssatz aus, der der Rolle zugewiesen werden soll.
- Modellsatz: Wählen Sie einen Modellsatz aus, der der Rolle zugewiesen werden soll.
- Gruppen: Optional können Sie eine oder mehrere Gruppen auswählen, denen die Rolle zugewiesen werden soll.
- Nutzer: Optional können Sie einen oder mehrere Nutzer auswählen, denen die Rolle zugewiesen werden soll.
Wenn Sie die Rolle wie gewünscht konfiguriert haben, klicken Sie unten auf der Seite auf die Schaltfläche Neue Rolle.
Nachdem eine Rolle erstellt wurde, können Sie sie bearbeiten, indem Sie auf der Seite Rollen rechts neben der Rolle auf die Schaltfläche Bearbeiten klicken. Wenn Sie auf Bearbeiten klicken, gelangen Sie zur Seite Rolle bearbeiten für diese Rolle. Dort können Sie den Namen, den Berechtigungssatz, den Modellsatz und die Gruppen oder Nutzer bearbeiten, die der Rolle zugewiesen sind.
Um eine Rolle zu löschen, klicken Sie auf die Schaltfläche Löschen rechts von der Rolle auf der Seite Rollen.
Standardrollen
Für neue Instanzen erstellt Looker die folgenden Standardrollen, von denen jede einen Standardberechtigungssatz mit demselben Namen enthält:
- Administrator
- Entwickler
- Nutzer
- Betrachter
Berechtigungssätze
Mit einer Berechtigungsgruppe wird festgelegt, was ein Nutzer oder eine Gruppe tun darf. Administratoren können die Standardberechtigungsgruppen von Looker verwenden oder eigene Berechtigungsgruppen erstellen. Dabei müssen sie die Abhängigkeiten von Berechtigungen berücksichtigen.
Alle verfügbaren Berechtigungen und ihre Typen werden in der Liste der Berechtigungen ausführlicher erläutert.
Standardberechtigungssätze
Bei Neuinstallationen bietet Looker mehrere Standardberechtigungssätze, mit denen Sie beginnen können:
Diese Berechtigungssätze werden als Optionen angezeigt, wenn Sie eine neue Rolle erstellen. Wenn Sie einen dieser Berechtigungssätze auswählen, wird in Looker eine Liste der enthaltenen Berechtigungen angezeigt.
Der Administratorberechtigungssatz kann weder bearbeitet oder gelöscht noch einer Rolle zugewiesen werden. Sie ist nur der Administratorrolle zugewiesen, die auch weder bearbeitet noch gelöscht werden kann. Die Administratorberechtigung kann nur einem Nutzer oder einer Gruppe gewährt werden, indem Sie diesem Nutzer oder dieser Gruppe die Rolle „Administrator“ zuweisen.
Berechtigungssätze erstellen
Wenn Sie einen Berechtigungssatz erstellen möchten, klicken Sie oben auf der Seite Rollen auf die Schaltfläche Neuer Berechtigungssatz. In Looker wird eine Seite angezeigt, auf der Sie einen Namen für die Berechtigungsgruppe eingeben und die Berechtigungen auswählen können, die sie enthalten soll. Nachdem Sie den Satz wie gewünscht konfiguriert haben, klicken Sie unten auf der Seite auf die Schaltfläche Neuer Berechtigungssatz.
Nachdem eine Berechtigungsgruppe erstellt wurde, können Sie sie bearbeiten oder löschen. Klicken Sie dazu auf der Seite Rollen rechts neben der Berechtigungsgruppe auf die Schaltfläche Bearbeiten oder Löschen.
Berechtigungen und Abhängigkeiten
Einige Berechtigungen sind von anderen abhängig, damit sie richtig funktionieren. Es ist beispielsweise sinnvoll, dass jemand, der in LookML entwickeln möchte, zuerst LookML sehen kann.
Wenn Sie eine Berechtigungsgruppe erstellen, werden die verfügbaren Berechtigungen in einer eingerückten Liste angezeigt. Wenn eine Berechtigung unter eine andere übergeordnete Berechtigung eingerückt wird, müssen Sie zuerst die übergeordnete Berechtigung auswählen. Die Berechtigungsliste könnte so aussehen:
☑️ access_data ☑️ see_lookml_dashboards ☑️ see_looks ☑️ see_user_dashboards
In diesem Beispiel verwendet Looker einen Einzug, um Folgendes anzuzeigen:
- Das
access_data
-Berechtigung kann jederzeit ausgewählt werden. - Für die Berechtigungen
see_lookml_dashboards
undsee_looks
muss zuerst die Berechtigungaccess_data
ausgewählt werden. - Das
see_user_dashboards
-Berechtigung hängt vomsee_looks
-Berechtigung ab, das wiederum vomaccess_data
-Berechtigung abhängt.
Sie können eine untergeordnete Berechtigung nur auswählen, wenn Sie zuerst die zugehörige übergeordnete Berechtigung ausgewählt haben.
Berechtigungen und Looker-Lizenzen
Mit Looker-Lizenzen werden Nutzer in drei Typen unterteilt:
- Entwickler (Administrator)
- Standard (Creator)
- Betrachter
Die Berechtigungen, die einem Nutzer gewährt werden, bestimmen, wie dieser Nutzer gemäß der Looker-Lizenz klassifiziert wird:
Ein Nutzer wird als Entwickler (Administrator) eingestuft, wenn er die Standardrolle „Administrator“ oder mindestens eine der folgenden Berechtigungen hat:
Ein Nutzer wird als Nutzer mit Standardzugriff (Creator) eingestuft, wenn er keine Entwicklerberechtigungen (Administrator), aber mindestens eine der folgenden Berechtigungen hat:
Ein Nutzer wird als Betrachter eingestuft, wenn er die Berechtigung
access_data
, aber keine Entwickler- oder Administratorberechtigungen und keine Standardberechtigungen (Ersteller) hat.
Berechtigungsliste
Die folgenden Berechtigungen interagieren auf möglicherweise unerwartete Weise mit Modellsätzen:
In der IDE von Looker kann ein einzelnes Projekt mehrere Modelldateien enthalten. Wenn Sie einem Nutzer die Berechtigung
develop
see_lookml
manage_models
manage_modelsets_restricted
manage_project_connections_restricted
manage_project_connections
develop
odersee_lookml
zuweisen und ihm erlaubt haben, jedes Modell zu sehen, das Teil eines Projekts ist, kann er die LookML für alle Modelle in diesem Projekt entwickeln oder ansehen. Sie können jedoch weiterhin keine Abfragen zu Modellen stellen, die Sie nicht zugelassen haben.Wenn Sie einem Nutzer die Berechtigungmanage_models
zuweisen, kann er auf alle Modelle in allen Projekten der Instanz zugreifen.Wenn Sie einem Nutzer die Berechtigung
Wenn Sie einem Nutzer die Berechtigungmanage_modelsets_restricted
zuweisen, kann er jedes Modell in einem Projekt zuweisen, auf das er Zugriff hat.manage_project_connections_restricted
odermanage_project_connections
zuweisen, kann der Nutzer projektbezogene Verbindungen für alle Projekte, die im Modellsatz enthalten sind, sehen, bearbeiten und erstellen.
Es gibt drei Arten von Berechtigungen:
- Modellspezifisch: Dieser Berechtigungstyp gilt nur für die Modellsätze, die zu derselben Rolle gehören. Diese Berechtigung gilt für einzelne Modelle oder Modellsätze und nicht für die gesamte Looker-Instanz.
- Verbindungsspezifisch: Dieser Berechtigungstyp wird auf Verbindungsebene angewendet. Einem Nutzer mit dieser Art von Berechtigung werden Inhalte auf Seiten im Bereich Verwaltung angezeigt, für die eine Verbindung mit einem Modell verwendet wird, auf das er Datenzugriff hat, auch wenn diese Verbindung mit einem anderen Modell verwendet wird, auf das er keinen Datenzugriff hat.
- Instanzweit:Diese Art von Berechtigung gilt für die Looker-Instanz als Ganzes und hat drei Typen:
- NN = Kein Inhaltszugriff, kein Menüzugriff: Mit diesen Berechtigungen können Nutzer bestimmte Funktionen in der gesamten Looker-Instanz ausführen, aber nicht auf Inhalte zugreifen, die auf Modellen basieren, die nicht im Modellsatz ihrer Rolle enthalten sind.
- CN = Zugriff auf Inhalte, kein Menüzugriff: Mit diesen Berechtigungen können Nutzer auf Inhalte und Abfrageinformationen in der gesamten Looker-Instanz zugreifen – auch auf Inhalte und Abfragen, die auf Modellen basieren, die nicht im Modellsatz ihrer Rolle enthalten sind.
- CM = Inhaltszugriff, Menüzugriff: Durch diese Berechtigungen können Nutzer ohne Administratorberechtigungen Teile des Menüs „Verwaltung“ sehen. Nutzer können außerdem Informationen zu Inhalten und Abfragen sehen, die auf Modellen basieren, die nicht im Modellsatz ihrer Rolle enthalten sind.
In der folgenden Liste werden alle Berechtigungen beschrieben, die in Looker verfügbar sind, in der Reihenfolge, in der sie auf der Seite Neue Berechtigungsgruppe im Bereich Verwaltung angezeigt werden:
Berechtigung | Abhängig von | Typ | Definition |
---|---|---|---|
access_data |
Keine | Modellspezifisch | Nutzer können auf Daten aus Looker zugreifen, aber nur auf die Daten, die Administratoren angeben. Diese Berechtigung ist für fast alle Looker-Funktionen erforderlich.Ein Nutzer mit dieser Berechtigung kann, wenn er Zugriff auf ein Modell in einem bestimmten Projekt hat, auf jede Datei im Bereich Daten dieses Projekts zugreifen, z. B. auf eine benutzerdefinierte JSON-Kartendatei. |
see_lookml_dashboards |
access_data |
Modellspezifisch | Nutzer sehen den LookML-Ordner Dashboards , der alle LookML-Dashboards enthält. Nutzer benötigen die Berechtigung explore für alle relevanten Modelle, um diese Dashboards untersuchen zu können. Nutzer mit der Berechtigung develop können LookML-Dashboards erstellen. |
see_looks |
access_data |
Modellspezifisch | Nutzer können gespeicherte Looks (aber keine Dashboards) in Ordnern sehen. Nutzer benötigen die Berechtigung explore für alle relevanten Modelle, um diese Looks zu analysieren. Nutzer benötigen außerdem die Zugriffsebene Ansicht, um Looks in Ordnern zu sehen. |
see_user_dashboards |
see_looks |
Modellspezifisch | Nutzer können sich nutzerdefinierte Dashboards in Ordnern ansehen, benötigen aber die Berechtigung explore für alle relevanten Modelle, um diese Dashboards zu analysieren. Außerdem benötigen Nutzer die Berechtigung Ansehen, um Dashboards in Ordnern anzusehen. Nutzer, die sowohl die Berechtigung save_dashboards als auch den Inhaltszugriff Zugriff verwalten, Bearbeiten für einen Ordner haben, können in diesem Ordner nutzerdefinierte Dashboards erstellen. |
explore |
see_looks |
Modellspezifisch | Nutzer können auf die Explore-Seite zugreifen und sie verwenden, um Looks und Dashboards zu erstellen. Ohne diese Berechtigung können Nutzer nur gespeicherte Dashboards aufrufen, sofern see_lookml_dashboards oder see_user_dashboards gewährt wurde. |
create_table_calculations |
explore |
Instanzweite NN | Nutzer können Tabellenberechnungen aufrufen, bearbeiten oder hinzufügen. |
create_custom_fields |
explore |
Instanzbreit NN | Nutzer dürfen benutzerdefinierte Felder ansehen, bearbeiten oder hinzufügen Nutzer, die nur die Berechtigung explore haben, können benutzerdefinierte Felder nur ansehen. |
can_create_forecast |
explore |
Instanzbreit NN | Nutzer können Prognosen in Visualisierungen erstellen und bearbeiten. Nutzer ohne diese Berechtigung können nur vorhandene Prognosen in den Inhalten aufrufen, auf die sie Zugriff haben. |
can_override_vis_config |
explore |
Instanzbreit NN | Nutzer können auf den Diagrammkonfigurationseditor zugreifen und die JSON-Werte der Highchart API einer Visualisierung ändern sowie Darstellung und Format der Visualisierung anpassen. |
save_content |
see_looks |
Instanzweite NN | Diese Berechtigung ist eine übergeordnete Berechtigung von save_dashboards , save_looks und create_public_looks . Diese Berechtigung muss mit save_dashboards oder save_looks erteilt werden. |
save_dashboards |
save_content |
Instanzweite NN |
NEU 24.4
Nutzer können Dashboards speichern und bearbeiten. Nutzer benötigen die Berechtigung explore für alle relevanten Modelle, die in diesen Dashboards explorative Datenanalysen enthalten. Nutzer benötigen Berechtigungen des Typs download_with_limit und/oder download_without_limit , um den Inhalt herunterladen zu können. |
save_looks |
save_content |
Instanzweite NN |
NEU 24.4
Nutzer können Looks speichern und bearbeiten. Nutzer benötigen die Berechtigung explore für alle relevanten Modelle, die in diesen Looks untersucht werden sollen. Nutzer benötigen Berechtigungen des Typs download_with_limit und/oder download_without_limit , um die Inhalte herunterladen zu können. |
create_public_looks |
save_content |
Modellspezifisch | Nutzer können einen gespeicherten Look als öffentlich markieren. Dadurch werden URLs generiert, die ohne Authentifizierung Zugriff auf diesen Look gewähren. |
download_with_limit |
see_looks |
Modellspezifisch | Nutzer können Abfragen herunterladen und planen (als CSV-, Excel- und andere Formate). Sie müssen jedoch ein Zeilenlimit von maximal 5.000 angeben, um Speicherprobleme durch große Downloads auf der Instanz zu vermeiden. |
download_without_limit |
see_looks |
Modellspezifisch | Entspricht download_with_limit , jedoch muss der Nutzer kein Zeilenlimit angeben. Das Herunterladen oder Planen aller Ergebnisse für einige Abfragetypen kann erheblichen Arbeitsspeicher erfordern, was zu Leistungsproblemen oder sogar zum Absturz der Looker-Instanz führen kann. |
schedule_look_emails |
see_looks |
Modellspezifisch | Nutzer können alle Looks, Dashboards und Abfragen mit Visualisierungen, auf die sie Datenzugriff haben, per E-Mail versenden. Nutzer können die Übermittlung so planen, dass sie nach dem Auslösen einer datagroup, der Verwaltung des Cache und der Neuerstellung relevanter PDTs erfolgt.Um Dashboards zur Systemaktivität zu senden oder zu planen, müssen Nutzer Zugriff auf alle Modelle haben. Nutzer mit der Berechtigung create_alerts können E-Mail-Warnbenachrichtigungen senden. Looker-Administratoren können über die Zulassungsliste für E-Mail-Domains auf der Seite Einstellungen des Bereichs Admin festlegen, an welche E-Mail-Domains Looker-Nutzer E-Mail-Übermittlungen senden dürfen.Diese Berechtigung wird auf einzelne Modelle oder Modellsätze angewendet, nicht auf die gesamte Looker-Instanz. |
schedule_external_look_emails |
schedule_look_emails |
Modellspezifisch | Nutzer können alle Looks, Dashboards und Abfragen mit Visualisierungen, auf die sie Datenzugriff haben, per E-Mail versenden. Nutzer können die Übermittlung so planen, dass sie nach dem Auslösen einer Datengruppe erfolgt, der Cache verwaltet und die relevanten PDTs neu erstellt wurden.Wenn Nutzer Systemaktivitäts-Dashboards senden oder planen möchten, müssen sie Zugriff auf alle Modelle haben. Nutzer mit der Berechtigung create_alerts können E-Mail-Warnbenachrichtigungen senden. Nutzer können Inhaltsübermittlungen oder Benachrichtigungen per E-Mail an E-Mail-Adressen beliebiger Domains senden, unabhängig davon, ob die Zulassungsliste für E-Mail-Domains auf der Seite Einstellungen des Admin-Bereichs E-Mail-Domains enthält, die auf der Zulassungsliste stehen.Diese Berechtigung gilt für einzelne Modelle oder Modellsätze und nicht für die gesamte Looker-Instanz. |
create_alerts |
see_looks |
Instanzweite NN | Über die Dashboard-Kachel können Nutzer eigene Benachrichtigungen erstellen, duplizieren und löschen. und kann Warnungen sehen und duplizieren, die von anderen Nutzern als Öffentlich gekennzeichnet wurden. Der Benutzer muss bei Slack angemeldet sein, um Dashboard-Tile-Benachrichtigungen anzuzeigen, die Slack-Benachrichtigungen senden. Nutzer können auf der Seite Benachrichtigungen verwalten Benachrichtigungen aufrufen, bearbeiten, deaktivieren und aktivieren. Nutzer müssen die Berechtigung schedule_look_emails oder schedule_external_look_emails haben, um E-Mail-Warnbenachrichtigungen senden zu können. |
follow_alerts |
see_looks |
Instanzbreit NN | Nutzer können Benachrichtigungen ansehen und folgen. Auf der Nutzerseite Benachrichtigungen verwalten können Sie sich die Benachrichtigungen ansehen, denen sie gefolgt sind oder für die sie als Empfänger aufgeführt sind. |
send_to_s3 |
see_looks |
Modellspezifisch | Nutzer können alle Looks, Dashboards und Abfragen mit Visualisierungen senden, auf die sie Datenzugriff auf einen Amazon S3-Bucket haben. Nutzer können die Übermittlung so planen, dass sie nach dem Auslösen einer Datengruppe erfolgt, der Cache verwaltet und die relevanten PDTs neu erstellt wurden.Diese Berechtigung gilt für einzelne Modelle oder Modellsätze und nicht für die gesamte Looker-Instanz. |
send_to_sftp |
see_looks |
Modellspezifisch | Nutzer können alle Looks, Dashboards und Abfragen mit Visualisierungen senden, auf die sie Datenzugriff auf einen SFTP-Server haben. Nutzer können die Übermittlung so planen, dass sie nach dem Auslösen einer Datengruppe erfolgt, der Cache verwaltet und die relevanten PDTs neu erstellt wurden.Diese Berechtigung gilt für einzelne Modelle oder Modellsätze und nicht für die gesamte Looker-Instanz. |
send_outgoing_webhook |
see_looks |
Modellspezifisch | Nutzer können alle Looks, Dashboards und Abfragen mit Visualisierungen senden, auf die sie Datenzugriff auf einen Webhook haben. Nutzer können die Übermittlung so planen, dass sie nach dem Auslösen einer Datengruppe erfolgt, der Cache verwaltet und die relevanten PDTs neu erstellt wurden.Diese Berechtigung wird auf einzelne Modelle oder Modellsätze angewendet, nicht auf die gesamte Looker-Instanz. |
send_to_integration |
see_looks |
Modellspezifisch | Nutzer können Looker-Objekte, Dashboards und Abfragen mit Visualisierungen über den Looker Action Hub freigeben, für die sie Datenzugriff auf die mit Looker integrierten Drittanbieterdienste haben. Wenn Sie benutzerdefinierte Aktionen mit Nutzerattributen verwenden, müssen Nutzer diese Berechtigung und einen nicht nullwertigen und gültigen Nutzerattributwert für das angegebene Nutzerattribut haben, damit Looker-Inhalte an das Ziel der Aktion gesendet werden. Diese Berechtigung bezieht sich nicht auf Datenaktionen. Nutzer können die Übermittlung so planen, dass sie nach dem Auslösen einer Datengruppe erfolgt, der Cache verwaltet und die relevanten PDTs neu erstellt wurden.Diese Berechtigung gilt für einzelne Modelle oder Modellsätze und nicht für die gesamte Looker-Instanz. |
see_sql |
see_looks |
Modellspezifisch | Nutzer können während der explorativen Datenanalyse auf den Tab SQL und auf alle SQL-Fehler zugreifen, die durch ihre Abfragen verursacht wurden. |
see_lookml |
see_looks |
Modellspezifisch | Nutzer haben Lesezugriff auf LookML. Benutzer benötigen diese Berechtigung, um den Link Zu LookML wechseln im Admin-Steuerfeld zu sehen.Wenn Sie möchten, dass ein Nutzer LookML bearbeiten kann, müssen Sie ihm auch die Berechtigung develop erteilen. HINWEIS: Diese Berechtigung interagiert möglicherweise auf unerwartete Weise mit Modellsätzen. Wenn Sie einem Nutzer die Berechtigung see_lookml zuweisen und ihm erlaubt haben, jedes Modell zu sehen, das Teil eines Projekts ist, kann er den LookML-Code für alle Modelle in diesem Projekt sehen. Sie können jedoch weiterhin keine Abfragen zu Modellen stellen, die Sie nicht zugelassen haben. |
develop |
see_lookml |
Modellspezifisch | Nutzer können lokale Änderungen an LookML vornehmen, diese Änderungen aber nur für alle freigeben, wenn sie auch die Berechtigung deploy haben. Diese Berechtigung ist erforderlich, damit die Option Support anfordern im Menü Hilfe angezeigt wird und Sie Metadaten in der Looker IDE sehen können. Nutzer benötigen diese Berechtigung auch, um im Zahnradmenü von Explore auf die Option Abgeleitete Tabellen neu erstellen und ausführen zuzugreifen. Dies ist nicht modellspezifisch. Wenn ein Nutzer also diese Berechtigung in einem Modell hat, hat er Zugriff auf Abgeleitete Tabellen neu erstellen und Ausführung in allen ModellenHINWEIS: Diese Berechtigung interagiert möglicherweise auf unerwartete Weise mit Modellsätzen. Wenn Sie einem Nutzer die Berechtigung develop zuweisen und ihm erlaubt haben, jedes Modell zu sehen, das Teil eines Projekts ist, kann er den LookML-Code für alle Modelle in diesem Projekt entwickeln. Sie können jedoch immer noch keine Modelle abfragen, die Sie nicht zugelassen haben. |
deploy |
develop |
Instanzweite NN | Nutzer können ihre lokalen LookML-Änderungen in die Produktion pushen, damit sie für alle verfügbar werden. |
support_access_toggle |
develop |
Instanzweite NN | Nutzer können den Zugriff von Looker-Analysten auf Ihre Looker-Instanz aktivieren oder deaktivieren. |
manage_project_models |
develop |
Modellspezifisch | Nutzer können auf der Seite Modellkonfiguration bearbeiten Modellkonfigurationen für zulässige Modelle hinzufügen, bearbeiten oder löschen. Beim Konfigurieren eines Modells können Nutzer nur Verbindungen auf Projektebene verwenden.HINWEIS: Diese Berechtigung interagiert auf potenziell unerwartete Weise mit Modellsätzen. Wenn Sie eine Rolle mit der Berechtigung manage_project_models erstellen, gewährt diese Rolle Zugriff auf alle Modelle, die ein Projekt mit einem der Modelle in den Modellsätzen der Rolle teilen. |
use_global_connections |
manage_project_models |
Modellspezifisch | Nutzer können zulässige Modelle mit jeder projektbezogenen oder instanzweiten Verbindung konfigurieren. |
manage_project_connections_restricted |
develop |
Modellspezifische CM | Nutzer finden die Seite Verbindungen im Menü „Verwaltung“. Sie können projektbezogene Verbindungen für alle Projekte im Modellsatz ansehen, bearbeiten und erstellen. Sie können jedoch nur die folgenden Verbindungseinstellungen bearbeiten:
manage_project_connections_restricted zuweisen, kann der Nutzer projektbezogene Verbindungen für alle im Modellsatz enthaltenen Projekte ansehen, bearbeiten und erstellen. |
manage_project_connections |
manage_project_connections_restricted |
Modellspezifische CM | Nutzer finden die Seite Verbindungen im Menü „Verwaltung“. Sie können projektbezogene Verbindungen für alle im Modellsatz enthaltenen Projekte aufrufen, bearbeiten und erstellen.HINWEIS: Diese Berechtigung interagiert auf potenziell unerwartete Weise mit Modellsätzen. Wenn Sie einem Nutzer die Berechtigung manage_project_connections_restricted zuweisen, kann der Nutzer projektbezogene Verbindungen für alle im Modellsatz enthaltenen Projekte ansehen, bearbeiten und erstellen. |
use_sql_runner |
see_lookml |
Modellspezifisch | Nutzer können SQL Runner verwenden, um Roh-SQL für ihre zulässigen Verbindungen auszuführen. Nutzer können auch über die Option Herunterladen im Zahnradmenü von SQL Runner Ergebnisse herunterladen, unabhängig davon, ob sie die Berechtigungen download_with_limit oder download_without_limit haben. |
clear_cache_refresh |
access_data |
Modellspezifisch | Nutzer können den Cache leeren und interne und eingebettete Dashboards, Dashboard-Tiles, Looks und Explores aktualisieren.Die Berechtigung clear_cache_refresh wird automatisch allen vorhandenen Berechtigungssätzen hinzugefügt, die eine der folgenden Berechtigungen enthalten: see_user_dashboards , see_lookml_dashboards oder explore . Die Berechtigung clear_cache_refresh wird nicht automatisch auf eingebettete Rollen angewendet. |
see_drill_overlay |
access_data |
Modellspezifisch | Nutzer können die Ergebnisse des Aufschlüsselns einer Dashboard-Kachel ansehen, aber nicht untersuchen. Wenn explore gewährt wird, wird diese Berechtigung auch automatisch gewährt, auch wenn sie nicht angeklickt ist. Nutzer benötigen außerdem Berechtigungen des Typs explore , um Aufschlüsselungsergebnisse im PNG-Format herunterzuladen. |
manage_spaces |
Keine | Instanzweit CN | Nutzer können Ordner erstellen, bearbeiten, verschieben und löschen. Außerdem benötigen Nutzer die Berechtigung Zugriff verwalten, bearbeiten für den Inhaltszugriff. |
manage_homepage |
Keine | Instanzweite NN | Nutzer können Inhalte bearbeiten und der Seitenleiste hinzufügen. Diese wird allen Looker-Nutzern auf der vordefinierten Looker-Startseite angezeigt. |
manage_models |
Keine | Instanzweit CN | Jedem LookML-Modell wird auf der Seite LookML-Projekte verwalten eine bestimmte Gruppe von Datenbankverbindungen zugeordnet. Mit dieser Berechtigung können Nutzer diese Zuordnungen konfigurieren, neue Projekte erstellen und Projekte löschen. Nutzer ohne Administratorberechtigungen, die diese Berechtigung haben, haben Zugriff auf alle Verbindungen, die von den Modellen zugelassen werden, auf die sie Zugriff haben.HINWEIS: Diese Berechtigung interagiert auf potenziell unerwartete Weise mit Modellsätzen. Wenn Sie einem Nutzer die Berechtigung manage_models zuweisen, kann er auf alle Modelle in allen Projekten in der Instanz zugreifen. |
create_prefetches |
Keine | Instanzweit | Von einem Vorabruf wird dringend abgeraten. Wir empfehlen stattdessen die Verwendung von Datengruppen. |
login_special_email |
Keine | Instanzweit | Nutzer können sich mit herkömmlichen Anmeldedaten (E-Mail-Adresse und Passwort) anmelden, auch wenn andere Anmeldeverfahren (z. B. Google, LDAP oder SAML) in Ihrer Instanz aktiviert sind. Das kann für Berater oder andere Personen nützlich sein, die nicht Teil Ihres normalen Authentifizierungssystems sind. |
embed_browse_spaces |
Keine | Instanzweite NN | Aktiviert den Inhaltsbrowser für signierte Einbettungen. Wenn du signierte Embeds verwendest, solltest du diese Berechtigung Nutzern gewähren, die die Berechtigung save_content haben. |
embed_save_shared_space |
Keine | Instanzweit | Ermöglicht Nutzern mit der Berechtigung save_content , Inhalte im Ordner Gemeinsam der Organisation zu speichern, sofern vorhanden. Nutzer mit der Berechtigung save_content , aber nicht mit der Berechtigung embed_save_shared_space können Inhalte nur in ihrem persönlichen Einbettungsordner speichern. |
manage_embed_settings |
Keine | Instanzübergreifender CM | HINZUGEFÜGT 24.0 Nutzer können die Einbettungseinstellungen auf der Seite Embed (Eingebettet) im Bereich Plattform des Menüs Verwaltung bearbeiten. |
manage_modelsets_restricted |
Keine | Modellspezifische CM |
BETA 24.16
Nutzer können Modellen, die in einer ihrer Rollen enthalten sind, Modelle hinzufügen oder daraus entfernen.HINWEIS: Diese Berechtigung interagiert möglicherweise auf unerwartete Weise mit Modellsätzen. Wenn Sie einem Nutzer die Berechtigung manage_modelsets_restricted zuweisen und ihm erlaubt haben, auf alle Modelle zuzugreifen, die Teil eines Projekts sind, kann er Modellsätzen, auf die er Zugriff hat, alle Modelle in diesem Projekt zuweisen. |
manage_schedules |
Keine | Modellspezifische CM | BETA 24.12 Nutzer können Zeitpläne auf der Seite Zeitpläne für die angegebenen Modelle neu zuweisen und löschen. Mit dieser Berechtigung kann ein Nutzer nicht auf die Seite Zeitplaner Verlauf zugreifen. |
manage_themes |
Keine | Instanzweite CM | HINZUGEFÜGT 24.0 Nutzer können die Designeinstellungen auf der Seite Designs im Bereich Plattform des Menüs Verwaltung konfigurieren.Diese Berechtigung ist nur verfügbar, wenn Designs für Ihre Instanz aktiviert wurden. |
manage_privatelabel |
Keine | Instanzübergreifender CM | HINZUGEFÜGT 24.0 Nutzer können die Einstellungen für das eigene Label auf der Seite Privates Label im Bereich Plattform des Menüs Verwaltung konfigurieren.Diese Berechtigung ist nur verfügbar, wenn Private Label für Ihre Instanz aktiviert wurde. |
see_alerts |
Keine | Instanzweite CM | Nutzer können im Bereich Admin auf die Seiten Benachrichtigungen und Benachrichtigungsverlauf zugreifen und so alle Benachrichtigungen zu einer Looker-Instanz sehen. Nutzer können auf der Seite Benachrichtigungen Benachrichtigungen anderer Nutzer aufrufen, verfolgen, bearbeiten, sich selbst zuweisen und deaktivieren.Nutzer müssen Berechtigungen für den Zugriff auf die zugrunde liegenden Inhalte der Benachrichtigung haben, um sich die Visualisierung der Benachrichtigung (auf der Seite Benachrichtigungsdetails) anzusehen oder zu analysieren oder um das zugehörige Dashboard aufzurufen. Mit dieser Berechtigung können Nutzer keine Benachrichtigungen über die Dashboardkachel aufrufen, erstellen, verfolgen oder löschen. |
see_queries |
Keine | Instanzweite CM | Nutzer finden die Seite Abfragen im Bereich Verwaltung von Looker. Mit diesem Berechtigung können Nutzer keine Abfragen auf der Seite Abfragen beenden. |
see_logs |
Keine | Instanzweite CM | Nutzer finden die Seite Log im Bereich Verwaltung von Looker. |
see_users |
Keine | Instanzweite CM | Nutzer sehen im Bereich Verwaltung von Looker die Seite Nutzer, aber nicht die Seite Gruppen. Mit dieser Berechtigung kann ein Nutzer keine neuen Nutzer erstellen, API-Anmeldedaten ansehen oder erstellen, Passwörter zurücksetzen oder Nutzer oder Berechtigungen anderweitig ändern. Ein Nutzer mit dieser Berechtigung kann alle Nutzer in allen Gruppen einer Instanz sehen, auch in einem geschlossenen System. Ein Nutzer kann alle Gruppen- und Rollennamen sehen, was einige Unternehmen als vertraulich betrachten. |
sudo |
see_users |
Instanzübergreifender CM | Nutzer können sich als ein anderer Nutzer anmelden (Sudo), d. h. als dieser Nutzer handeln und vorübergehend dessen Berechtigungen übernehmen. Dazu klicken sie auf der Seite Nutzer auf die Schaltfläche Sudo.Mit der Berechtigung sudo können Nutzer ohne Administratorberechtigungen nicht im SUDO-Status als Administrator angemeldet werden. Alle anderen Nutzer können jedoch ihre Berechtigungen mit dem Befehl „sudo“ ausweiten. Seien Sie daher vorsichtig. |
manage_groups |
see_users |
Instanzübergreifender CM | ADDED 24.0 Nutzer können Gruppen im Menü Verwaltung auf der Seite Gruppen im Bereich Nutzer erstellen, bearbeiten und löschen. Eine Ausnahme bilden Gruppen, die mit der Rolle Administrator verknüpft sind. |
manage_roles |
manage_groups |
Instanzweite CM | NEU 24.0 Nutzer können im Menü Verwaltung auf der Seite Rollen im Bereich Nutzer Rollen erstellen, bearbeiten und löschen, mit Ausnahme der Rolle Administrator. Benutzer können immer noch keine Berechtigungs- oder Modellsätze erstellen, bearbeiten oder löschen. |
manage_user_attributes |
see_users |
Instanzübergreifender CM | ADDED 24.0 Nutzer können Nutzerattribute im Menü Verwaltung im Bereich Nutzer auf der Seite Nutzerattribute erstellen, bearbeiten und löschen. |
see_schedules |
Keine | Instanzübergreifender CM | Nutzer können die Seiten Zeitpläne und Zeitplanverlauf im Bereich Verwaltung in Looker aufrufen. Mit dieser Berechtigung kann ein Nutzer nicht die Berechtigung anderer Nutzer neu zuweisen, bearbeiten oder löschen. auf den Seiten Zeitpläne und Zeitplanverlauf. |
see_pdts |
Keine | Verbindungsspezifisch | Nutzer können in Looker im Bereich Admin die Seite Persistente abgeleitete Tabellen aufrufen. Dort finden sie Informationen zu PDTs aus Projekten, die eine Verbindung zu Modellen verwenden, auf die sie Datenzugriff haben.Diese Berechtigung ist im Standard-Berechtigungssatz für Entwickler für neue Looker-Installationen enthalten.Diese Berechtigung gilt für Verbindungen, auf die Benutzer Datenzugriff haben, und nicht auf die gesamte Looker-Instanz oder auf einzelne Modelle oder Modellsätze. |
see_datagroups |
Keine | Modellspezifisch | Nutzer können in Looker im Bereich Admin die Seite Datengruppen aufrufen. Nutzer können Verbindungsnamen, Modellnamen und andere Informationen zu Datengruppen sehen, die in einem Modell definiert sind, für das sie Datenzugriff haben.Diese Berechtigung wird auf einzelne Modelle oder Modellsätze angewendet, nicht auf die gesamte Looker-Instanz oder auf Verbindungen. |
update_datagroups |
see_datagroups |
Modellspezifisch | Nutzer können eine Datengruppe über die Seite „Datengruppen“ im Bereich Verwaltung in Looker auslösen oder ihren Cache zurücksetzen. Wie Nutzer mit der Berechtigung see_datagroups können Nutzer mit der Berechtigung update_datagroups Datengruppen sehen, die in Projekten definiert sind, die ein Modell verwenden, für das sie Datenzugriff haben.Diese Berechtigung gilt für einzelne Modelle oder Modellsätze und nicht für die gesamte Looker-Instanz oder für Verbindungen. |
see_system_activity |
Keine | Instanzweite CM | Nutzer können auf die Explores und Dashboards der Systemaktivität sowie auf die interne i__looker -Datenbank zugreifen, um Nutzung, Verlauf und andere Metadaten einer Looker-Instanz anzusehen. |
mobile_app_access |
Keine | Instanzbreit NN | Nutzer können sich über die Looker App auf einem Mobilgerät in Ihrer Instanz anmelden. Damit Nutzer sich in der Looker App anmelden können, muss die Option Zugriff auf mobile App auf der Seite Allgemeine Einstellungen im Bereich Verwaltung in Looker aktiviert sein.Die Berechtigung mobile_app_access kann einem neuen oder vorhandenen Berechtigungssatz hinzugefügt werden und ist Teil aller Standardberechtigungssätze von Looker. |
Modellsätze
Ein Modellsatz definiert, welche Daten und LookML-Felder ein Nutzer oder eine Gruppe sehen kann. Jeder Satz ist eine Liste von LookML-Modellen, auf die ein Benutzer oder eine Gruppe Zugriff haben soll. Sie können sich einen Modellsatz als zwei Funktionen vorstellen:
- Mit einem Modellsatz wird festgelegt, für welche Modelle in Ihrer LookML-Anwendung die Berechtigungen gelten (falls diese Berechtigungen modellierspezifisch sind).
- Mit einem Modellsatz wird festgelegt, welche Daten und LookML-Felder ein Nutzer sehen kann, da jedes Modell mit einer bestimmten Datenbankverbindung verbunden ist und bestimmte LookML-Felder enthält.
Modellsatz erstellen
So erstellen Sie einen Modellsatz:
Klicken Sie oben auf der Seite Rollen auf die Schaltfläche Neues Modellset.
In Looker wird die Seite Neues Modellsatz angezeigt. Geben Sie einen Namen für die neue Modellgruppe ein.
Wählen Sie die Modelle aus, die in die neue Modellgruppe aufgenommen werden sollen.
Klicken Sie unten auf der Seite auf die Schaltfläche New Model Set (Neuer Modellsatz). Der neue Modellsatz wird auf der Seite Rollen im Abschnitt Modellsätze angezeigt.
Modelle, die in ausstehende Projekte enthalten sind, werden in der Liste Modelle auf den Seiten Neuer Modellsatz und Modellgruppe bearbeiten angezeigt.
Durch das Löschen oder Umbenennen eines Modells werden keine Modellsätze geändert, die dieses Modell enthalten. Wenn ein Modell entfernt oder umbenannt wird, empfehlen wir Looker-Administratoren, den Namen dieses Modells auch aus allen zugehörigen Modellsätzen zu entfernen. Rufen Sie dazu die Seite Modellsatz bearbeiten auf. Wenn Sie den Namen eines gelöschten Modells aus einer Modellgruppe entfernen, wird verhindert, dass ein neues Modell mit demselben Namen versehentlich in diese Modellgruppe aufgenommen wird.
Weitere Informationen zu Modellen finden Sie auf der Dokumentationsseite Modellparameter.
Mehrere Modelle und Modellsätze erstellen
Das folgende Beispiel zeigt, wie Sie mehrere Modellsätze verwenden können, um den Zugriff auf Daten zu beschränken. Stellen Sie sich ein Szenario vor, in dem Sie zwei Teams haben: die Marketingabteilung und die des Supports. In diesem Beispiel sollten diese beiden Teams keinen Zugriff auf das gesamte Modell haben, daher würden Sie für jedes Team ein separates Modell erstellen. Führen Sie die folgenden Schritte aus, um den Datenzugriff zu trennen:
- Kopieren Sie das Modell in zwei neue Modelle.
- Schließen Sie im ersten der neuen Modelle nur die Ansichten, Felder und Explores ein, auf die das Marketingteam Zugriff haben soll.
- Erstellen Sie für das Marketingteam ein Modellset, das nur dieses neue Modell enthält.
- Erstellen Sie eine neue Rolle für das Marketingteam, die diese neue Modellgruppe und die entsprechenden Berechtigungen für das Marketingteam enthält.
- Weisen Sie diese neue Rolle der Marketingteamgruppe zu.
- Wiederholen Sie die Schritte 2 bis 5, um das zweite Modell für das Supportteam zu konfigurieren.
Modellsatz bearbeiten
Führen Sie nach dem Erstellen eines Modellsatzes die folgenden Schritte aus, um ihn zu bearbeiten:
Klicken Sie auf der Seite Rollen rechts neben dem Modellsatz, den Sie bearbeiten möchten, auf die Schaltfläche Bearbeiten.
In Looker wird die Seite Modellsatz bearbeiten angezeigt. Geben Sie bei Bedarf im Feld Name einen neuen Namen für das Modell ein.
Fügen Sie im Bereich Modelle Modelle zum Modellsatz hinzu oder entfernen Sie sie daraus.
Klicken Sie unten auf der Seite auf die Schaltfläche Modellsatz aktualisieren.
Modelle, die in ausstehenden Projekten enthalten sind, werden in der Liste Modelle auf den Seiten Neues Modellset und Modellset bearbeiten angezeigt.
Wenn Sie ein Modell löschen oder umbenennen, ändert sich nichts an den Modellsätzen, die dieses Modell enthalten. Wenn ein Modell entfernt oder umbenannt wird, empfehlen wir Looker-Administratoren, den Namen dieses Modells auch aus allen zugehörigen Modellsätzen zu entfernen. Verwenden Sie dazu die Seite Modellgruppe bearbeiten. Wenn Sie den Namen eines gelöschten Modells aus einer Modellgruppe entfernen, wird verhindert, dass ein neues Modell mit demselben Namen versehentlich in diese Modellgruppe aufgenommen wird.
Modellsatz löschen
Wenn Sie eine Modellgruppe löschen möchten, klicken Sie auf der Seite Rollen rechts neben der Modellgruppe, die Sie löschen möchten, auf Löschen.