Administratoreinstellungen – Nutzerattribute

Nutzerattribute bieten ein individuelles Erlebnis für jeden Looker-Benutzer. Ein Looker-Administrator definiert ein Benutzerattribut und wendet dann einen Benutzerattributwert auf eine Benutzergruppe oder auf einzelne Benutzer an.

Administratoren können auch Nutzerattribute definieren, für die die Nutzer selbst Werte angeben, z. B. Passwörter oder Kontaktdaten. An verschiedenen Stellen in Looker können Sie auf die Benutzerattribute verweisen, um ein benutzerdefiniertes Erlebnis für jeden Benutzer zu bieten.

Looker fügt einige Nutzerattribute automatisch ein, z. B. email, first_name, landing_page, last_name, full_name, ID, timezone (falls konfiguriert), locale und number_format.

Nutzerattribute ansehen

Wenn Sie die Liste der Nutzerattribute aufrufen möchten, rufen Sie im Menü Verwaltung im Bereich Nutzer die Seite Nutzerattribute auf.

In der Tabelle mit den Nutzerattributen sind Name, Label und Typ der einzelnen Nutzerattribute angegeben. Weitere Informationen finden Sie im folgenden Abschnitt. Außerdem enthält die Tabelle eine Schaltfläche mit Aktionen, die Sie für das Nutzerattribut ausführen können. Bei einigen Attributen wird „Systemstandard“ anstelle einer Schaltfläche für Aktionen angezeigt. Das bedeutet, dass Looker diese Attribute automatisch für jeden Nutzer erstellt. Die Standardbenutzerattribute des Systems sind von Looker für den internen Gebrauch reserviert und können nicht bearbeitet werden.

Nutzerattribute erstellen

Um ein Nutzerattribut zu definieren, klicken Sie auf der Seite Nutzerattribute im Bereich Nutzer des Menüs Verwaltung auf die Schaltfläche Nutzerattribut erstellen. Für jedes Nutzerattribut gelten die folgenden Einstellungen:

  • Name: Der Name des Nutzerattributs zur Verwendung in textbasierten Umgebungen wie LookML (Namen dürfen nur Kleinbuchstaben, Ziffern und Unterstriche enthalten).
  • Label: Die nutzerfreundliche Version des Namens. Standardmäßig ist dies der Name des Attributs, wobei Unterstriche durch Leerzeichen ersetzt und alle Wörter in Großbuchstaben geschrieben werden. Das Label kann jedoch bei Bedarf geändert werden.

  • Datentyp: Mit dieser Einstellung wird geprüft, ob Nutzern für dieses Nutzerattribut gültige Werte zugewiesen sind. Für das Nutzerattribut kann es sich um einen der folgenden Datentypen handeln:

    • String: Wählen Sie diese Option aus, um ein Nutzerattribut zu erstellen, das genau mit einem Stringwert übereinstimmt, z. B. einem Nutzernamen. Wenn Sie mehrere Stringwerte oder einen Looker-Filterausdruck im Nutzerattributwert verwenden möchten, wählen Sie stattdessen die Option Stringfilter (erweitert) aus.
    • Nummer: Wählen Sie diese Option aus, um eine einzelne Zahl anzugeben, z. B. die Mitarbeiternummer. Wenn Sie einen Zahlenbereich oder einen Looker-Filterausdruck verwenden möchten, nutzen Sie stattdessen den Zahlenfilter (erweitert).
    • Datum/Uhrzeit: Wählen Sie diese Option aus, um ein einzelnes Datum oder eine einzelne Uhrzeit anzugeben, z. B. das Geburtsdatum des Nutzers. Wenn Sie einen Datumsbereich oder einen Looker-Filterausdruck verwenden möchten, nutzen Sie stattdessen den Datum/Uhrzeit-Filter (erweitert).
    • Relative URL: Wählen Sie diese Option aus, um eine relative URL wie /browse/boards/2 anzugeben, die auf bestimmte Inhalte in Ihrer Looker-Instanz verweist, z. B. auf ein Board, einen Ordner oder eine Markdown-Datei (z. B. eine INFO- oder Dokumentdatei in einem Projekt). Das Nutzerattribut landing_page hat beispielsweise den Datentyp Relative URL und kann verwendet werden, um eine bestimmte Startseite für einen Nutzer oder eine Gruppe anzugeben.
    • Stringfilter (erweitert): Wählen Sie diese Option aus, um mehrere Stringwerte oder einen Looker-Filterausdruck im Nutzerattribut zuzulassen. Auf der Dokumentationsseite Filterausdrücke finden Sie eine Liste der Filterausdrücke, die Sie für Strings verwenden können.
    • Zahlenfilter (erweitert): Wählen Sie diese Option aus, um einen Bereich numerischer Werte oder einen Looker-Filterausdruck im Nutzerattribut zuzulassen. Auf der Dokumentationsseite Filterausdrücke finden Sie eine Liste der Filterausdrücke, die Sie für Zahlen verwenden können.
    • Datum/Uhrzeit-Filter (erweitert): Wählen Sie diese Option aus, um einen Datumsbereich oder einen Looker-Filterausdruck im Nutzerattribut zuzulassen. Auf der Dokumentationsseite Filterausdrücke finden Sie eine Liste der Filterausdrücke, die Sie für Datum und Uhrzeit verwenden können.

    Verwenden Sie die Datentypen Stringfilter (erweitert), Zahlenfilter (erweitert) und Datum/Uhrzeit-Filter (erweitert), um Werte mithilfe von Looker-Filterausdrücken einzugeben. Dadurch wird ein Wertebereich für ein Nutzerattribut zurückgegeben.

  • Nutzerzugriff: Sie können festlegen, welche Sichtbarkeit für ein Nutzerattribut angezeigt werden soll und welche Bearbeitungsmöglichkeiten die Nutzer haben:

    • Keine: Die Anzeigen werden nicht auf den Kontoseiten der Nutzer angezeigt.
    • Ansicht: Wird auf den Kontoseiten der Nutzer angezeigt, kann aber nicht bearbeitet werden.
    • Bearbeiten: Wird auf den Kontoseiten der Nutzer angezeigt und kann vom Nutzer festgelegt werden.

  • Werte ausblenden: Auch wenn Nutzerattribute für Nutzer sichtbar sind, führt das Einsetzen dieser Option auf Ja dazu, dass die Nutzerattributwerte maskiert werden. Dies ist für Passwörter oder andere vertrauliche Informationen hilfreich. Wenn Sie diesen Wert auf Yes festlegen, wird der Wert des Nutzerattributs auch in den Drop-down-Menüs für Nutzerattribute auf der Seite Verbindungseinstellungen maskiert. Nachdem dieser Wert auf Ja gesetzt ist, kann er nicht mehr zu Nein geändert werden. Wenn Sie Werte ausblenden auf Ja setzen, müssen Sie auch eine Zulassungsliste mit Domains angeben, die als Ziel für das Nutzerattribut zulässig sind.

  • Domain-Zulassungsliste: Wenn Sie die Werte für ein neues Nutzerattribut ausblenden, müssen Sie auch eine Zulassungsliste für Domains mit den URLs angeben, an die das Attribut gesendet werden kann, z. B. Hostnamen für Datenbankverbindungen und URLs für Git-HTTPS-Integrationen des Projekts. Sie können den Platzhalter (*) verwenden, um die Auslieferung an mehrere Seiten auf derselben Website zu aktivieren. Nachdem Sie eine Zulassungsliste für Domains angegeben haben, kann das Nutzerattribut nur an die aufgeführten Ziele gesendet werden.

    Wenn Sie die Domain-Zulassungsliste für dieses Nutzerattribut festgelegt haben und dem Nutzerattribut Werte zugewiesen wurden – für einen Nutzer, eine Gruppe oder durch Festlegen eines Standardwerts –, können Sie die Zulassungsliste nicht mehr ändern, um die URLs weniger einschränkend zu machen. Sie können URLs nur einschränken oder URLs aus der Zulassungsliste entfernen. Wenn die Domain-Zulassungsliste beispielsweise den Eintrag my_domain/route/* enthält, können Sie ihn später nicht mehr in my_domain/* ändern. Wenn Sie die Zulassungsliste weniger einschränken müssen, löschen Sie alle vorhandenen Werte, die dem Nutzerattribut zugewiesen sind, einschließlich der Standardwerte.

  • Standardwert festlegen: Klicken Sie dieses Kästchen an, um einen Standardwert für den Fall festzulegen, dass keinem Nutzer ein Wert zugewiesen ist.

Nachdem Sie ein Nutzerattribut definiert haben, können Sie Werte einzelnen Nutzern oder Nutzergruppen zuweisen, indem Sie auf der Seite auf die Tabs Nutzerwerte und Gruppenwerte klicken.

Einzelnen Nutzern Werte zuweisen

Nachdem Sie ein Nutzerattribut definiert haben, können Sie einem einzelnen Nutzer einen Wert dafür zuweisen:

  1. Klicken Sie auf der Seite Nutzerattribute im Menü Verwaltung im Bereich Nutzer auf den Tab Nutzerwerte.
  2. Wählen Sie im Dropdown-Menü den Nutzer aus, dem Sie einen Wert zuweisen möchten. Daraufhin wird eine Tabelle mit Werten angezeigt, die für diesen Nutzer gelten.
  3. Klicken Sie auf die Schaltfläche Set Value for User (Wert für Nutzer festlegen).
  4. Geben Sie den neuen Wert in das Feld Neuer Wert ein.
  5. Klicken Sie auf Speichern.

Wenn ein Wert einem einzelnen Nutzer zugewiesen wird, hat dieser Wert immer Vorrang vor allen Werten, die den Gruppen dieses Nutzers zugewiesen sind. Auf dem Tab Nutzerwerte sehen Sie, wann einem Nutzerattribut, das einen Gruppenwert überschreibt, ein benutzerdefinierter Wert zugewiesen wurde. Neben überschriebenen Werten wird der Text „Überschrieben“ angezeigt und diese Werte werden nicht berücksichtigt. Neben dem Wert des aktiven Nutzerattributs wird der Text „Aktueller Wert“ angezeigt.

Um einem Nutzerattribut mehrere Werte zuzuweisen, verwenden Sie den Datentyp Stringfilter (erweitert) und geben Sie mehrere Werte durch Kommas getrennt ein. Achten Sie darauf, dass zwischen den Werten kein Leerzeichen vorhanden ist. Sie könnten z. B. den String Executive, Management, Contributors eingeben.

Um einem Looker-Administrator oder einem anderen Benutzer alle möglichen Werte zuzuweisen, verwenden Sie einen Platzhalterwert im Benutzerattribut:

  • Wenn Sie einem Administrator oder einem anderen Nutzer Zugriff auf alle Werte in einem Stringfeld gewähren möchten, setzen Sie den Nutzerattribut-Datentyp auf Stringfilter (erweitert) und verwenden Sie den Wert %, NULL.

  • Wenn Sie einem Administrator oder einem anderen Nutzer Zugriff auf alle Werte eines Zahlenfelds gewähren möchten, setzen Sie den Nutzerattribut-Datentyp auf Zahlenfilter (erweitert) und verwenden Sie den Wert <0, >=0, NULL.

User-Gruppen Werte zuweisen

Sie können einer Nutzergruppe einen Wert für ein Nutzerattribut zuweisen. Klicken Sie im Admin-Steuerfeld auf der Seite Nutzerattribute rechts neben dem Attribut, das Sie festlegen möchten, auf Bearbeiten. Führen Sie dann folgende Schritte aus:

  1. Klicken Sie auf den Tab Werte gruppieren.
  2. Klicken Sie auf die Schaltfläche + Gruppe hinzufügen.
  3. Wählen Sie im Drop-down-Menü die Gruppe aus, der Sie einen Wert zuweisen möchten.
  4. Geben Sie in das Feld Wert den Wert für die Gruppe ein.
  5. Klicken Sie auf Speichern.

Wenn ein Wert mehreren Gruppen zugewiesen ist, müssen Sie entscheiden, welche Gruppe Vorrang hat, falls ein Nutzer mehreren Gruppen angehört. Ziehen Sie dazu die Gruppen in die gewünschte Reihenfolge. Jede Gruppe hat Vorrang vor den darunter aufgeführten Gruppen.

Angenommen, Sie haben die Gruppen „Executive Team“ und „Managementteam“. Führungskräfte sind auch Manager, also sind sie Mitglieder beider Gruppen. Wenn Sie die Gruppe des Führungsteams an den Anfang der Liste ziehen, wird ihren Mitgliedern der Wert Executive statt Manager zugewiesen.

Wenn ein Nutzer einen benutzerdefinierten Wert für ein Nutzerattribut festgelegt hat, überschreibt der vom Nutzer festgelegte Wert alle Werte, die einer Gruppe zugeordnet werden, zu der der Nutzer gehört.

Wo können Nutzerattribute verwendet werden?

Nutzerattribute haben die folgenden Funktionen:

Datenbankverbindungen

Host, Port, Datenbank, Nutzername, Passwort und Schema einer Verbindung können jeweils den Wert eines Nutzerattributs erhalten. Im Feld „Verbindungshost“ können keine Nutzerattribute angegeben werden, bei denen Nutzerzugriffsebene auf Bearbeitbar festgelegt ist.

Diese Nutzerattribute sorgen dafür, dass die Verbindung für den Nutzer spezifisch ist, der eine Abfrage ausführt. Auf Nutzerattribute kann auch im Feld Zusätzliche JDBC-Parameter verwiesen werden, wodurch der JDBC-Verbindungsstring angepasst wird. Wenn ein Nutzer eine Abfrage über die Verbindung ausführt, werden die ihm zugewiesenen Nutzerattributwerte angewendet, sodass die Verbindung an den Nutzer angepasst werden kann.

Konfiguration

Jede Verbindung kann so konfiguriert werden, dass Nutzerattribute auf der Seite Verbindungen im Bereich Admin von Looker verwendet werden. Informationen zur Seite Verbindungen finden Sie auf der Dokumentationsseite Administratoreinstellungen – Verbindungen. Klicken Sie auf Verbindung hinzufügen, um eine neue Verbindung zu erstellen. Klicken Sie neben der Verbindung auf Bearbeiten, um eine vorhandene Verbindung zu konfigurieren.

Wenn für eine Eingabe ein Nutzerattribut festgelegt werden kann, wird in Looker neben der Eingabe- die Schaltfläche Nutzerattribut angezeigt.

Klicken Sie auf die Schaltfläche Nutzerattribut, um ein Drop-down-Menü aufzurufen, in dem Sie das gewünschte Nutzerattribut auswählen können. In der Liste wird der Name des Nutzerattributs mit dem Nutzerattributwert des aktuellen Nutzers in Klammern angezeigt.

Um auf ein Nutzerattribut im Feld Zusätzliche JDBC-Parameter zu verweisen, verwenden Sie dieselbe Liquid-Vorlagensyntax, die in LookML verfügbar ist. Nutzerattribute werden über die Liquid-Variable _user_attributes zur Verfügung gestellt. Verwenden Sie beispielsweise die folgende Syntax, um auf ein Nutzerattribut mit dem Namen my_jdbc_param_attribute zu verweisen:

my_jdbc_param={{ _user_attributes['name_of_attribute'] }}

Anwendungsfall: Berechtigungen auf Datenbankebene in Looker anwenden

Wenn Ihre Datenbank verschiedene Konten mit verschiedenen Zugriffsbeschränkungen hat, können Sie Ihre Datenbankberechtigungen in Looker nutzen. Parametrisieren Sie den Nutzernamen und das Passwort einer Verbindung, damit jeder Nutzer eine Verbindung mit den entsprechenden Anmeldedaten für seine Datenbankzugriffsebene herstellt. Dadurch wird zwar sichergestellt, dass Nutzer keine Daten sehen, auf die sie keinen Zugriff haben sollten, hat aber keinen Einfluss darauf, welche Explores, Dimensionen und Messwerte ihnen in Looker angezeigt werden.

Wenn ein Nutzer beispielsweise so konfiguriert ist, dass er eine Verbindung zur Datenbank über ein Konto herstellt, das verhindert, dass die Spalte „credit_card_number“ in der Tabelle „user“ angezeigt wird, wird ihm jede Dimension, die diese Datenbankspalte verwendet, weiterhin in Looker angezeigt. Sie erhalten eine Fehlermeldung von der Datenbank, wenn sie versuchen, eine Abfrage mit dieser Dimension auszuführen.

Anwendungsfall: Ein Modell für mehrere identische Datenbanken verwenden

Angenommen, Sie haben mehrere Datenbanken mit genau dem gleichen Schema, z. B. wenn die Daten jedes Kunden in einer eigenen Datenbank für Datensicherheitsmaßnahmen wie die HIPAA-Compliance gespeichert sind. Oder vielleicht möchten Sie, dass Ihre LookML-Entwickler Abfragen für eine Entwicklungskopie einer Produktionsdatenbank ausführen.

Wenn sich diese Datenbanken auf demselben Datenbankserver befinden, müssen Sie keine separaten Verbindungen und Modelle einrichten. Legen Sie stattdessen für die Datenbank einer Verbindung ein Nutzerattribut fest. Jeder Nutzer wird dann auf die Datenbank verwiesen, die in seinem Wert für das Nutzerattribut Database Name angegeben ist.

Datenaktionen

Datenaktionen können so konfiguriert werden, dass bestimmte Nutzerattribute in ihre JSON-Nutzlast einbezogen werden. Hiermit können Sie zusammen mit den Daten nutzerspezifische Informationen senden, z. B. Anmeldedaten, um einen Vorgang für einen bestimmten Dienst auszuführen.

Konfiguration

Wenn Sie ein Nutzerattribut in eine Datenaktion einbeziehen möchten, fügen Sie der action-Definition einen user_attribute_param-Block hinzu. Jeder Block verwendet zwei Parameter:

  • user_attribute: der Name des Nutzerattributs
  • name: der in der JSON-Nutzlast zu verwendende Name

In diesem Beispiel werden die Salesforce-Anmeldedaten jedes Nutzers in Looker in den beiden Nutzerattributen salesforce_username und salesforce_password gespeichert. Wenn ein Nutzer die Aktion „Update in Salesforce“ ausführt, sendet Looker seine Salesforce-Anmeldedaten mit der JSON-Nutzlast, die der empfangende Server zur Authentifizierung bei Salesforce verwenden kann.

dimension: stage_name {
  type: string
  sql: ${TABLE}.stage_name;;
  action: {
    label: "Update in Salesforce"
    url: "https://example.com/my_salesforce_url"
    user_attribute_param: {
      user_attribute: salesforce_username
      name: "username"
    }
    user_attribute_param: {
      user_attribute: salesforce_password
      name: "password"
    }
    form_param: {
      name: "new_stage_name"
      type: string
      required: yes
    }
  }
}

Benutzerdefinierte Aktionen in einem Action Hub

Sie können eine benutzerdefinierte Aktion so konfigurieren, dass Nutzerattribute eingeschlossen werden, die verhindern, dass Nutzer Looker-Inhalte an dieses Aktionsziel senden oder planen, wenn für dieses Nutzerattribut kein Wert definiert ist.

Konfiguration

Der Parameter params in einer benutzerdefinierten Aktion steht für die Formularfelder, die ein Looker-Administrator auf der Aktivierungsseite der Aktion über die Liste Aktionen im Bereich Admin konfigurieren muss. Fügen Sie in den Parameter params Ihrer Aktionsdatei Folgendes ein:

  params = [{
    description: "A description of the param.",
    label: "A label for the param.",
    name: "action_param_name",
    user_attribute_name: "user_attribute_name",
    required: true,
    sensitive: true,
  }]

Dabei ist user_attribute_name das Nutzerattribut, das auf der Seite Nutzerattribute im Abschnitt Nutzer des Admin-Bereichs im Feld Name definiert ist. required: true bedeutet, dass für dieses Nutzerattribut ein gültiger Wert angegeben sein muss, damit die Aktion beim Senden von Daten angezeigt wird. sensitive: true bedeutet, dass der Wert des Nutzerattributs verschlüsselt und nie in der Looker-Benutzeroberfläche angezeigt wird, sobald es einmal eingegeben wurde. Sie können mehrere Nutzerattribut-Unterparameter angeben.

Ein Looker-Administrator muss die Formularfelder der Aktion mit dem Benutzerattribut konfigurieren:

  1. Klicken Sie im Bereich Verwaltung auf der Seite Aktionen neben der Aktion auf die Schaltfläche Aktivieren oder Einstellungen.
  2. Klicken Sie bei dem entsprechenden Feld auf das Symbol für das Nutzerattribut und wählen Sie das gewünschte Nutzerattribut aus.

Weitere Informationen finden Sie im Abschnitt Nutzerattribute zu benutzerdefinierten Aktionen hinzufügen auf der Dokumentationsseite Daten über einen Action Hub freigeben.

Filter

Filter für Explores, Looks und Dashboards können auf ein Nutzerattribut festgelegt werden, um die Abfrage an den Nutzer anzupassen, der sie ausführt.

Sie können beispielsweise ein Nutzerattribut namens salesforce_username erstellen und jeden Looker-Nutzer so konfigurieren, dass sein Wert dafür der Salesforce-Nutzername ist. Anschließend können Sie in einem Dashboard einen Filter auf das Nutzerattribut salesforce_username festlegen. In diesem Fall wird allen Nutzern ein Filter für ihren jeweiligen Salesforce-Nutzernamen angezeigt.

Konfiguration

Gehen Sie im Abschnitt FILTER eines Explores, Looks oder Dashboards so vor:

  1. Wählen Sie für den gewünschten Filter die Option Stimmt mit einem Nutzerattribut überein aus.

    Das Auswahlfeld rechts wird automatisch mit einer Liste von Nutzerattributen aktualisiert, die denselben Typ wie das Feld des Filters haben, z. B. Zahl, String (Text), Datum usw. Looker zeigt Ihren Wert für jedes Benutzerattribut in Klammern an.

  2. Wählen Sie das gewünschte Nutzerattribut aus.

Erweiterte Filtersyntax

Wenn Sie eine komplexere Überprüfung vornehmen möchten als eine einfache Gleichheitsprüfung für den Filter, wählen Sie stimmt überein (erweitert) aus und verweisen Sie mit einer Liquid-Variable auf das Nutzerattribut:

{{ _user_attributes['name_of_attribute'] }}

Angenommen, Sie müssen das Präfix sf_ auf den Wert des Nutzerattributs salesforce_username anwenden, weil die Werte so in Ihrer Datenbank gespeichert werden. Verwenden Sie die Liquid-Variablensyntax _user_attributes, um das Präfix dem Wert des Nutzerattributs hinzuzufügen:


sf_{{_user_attributes['salesforce_username']}}

Sie können dasselbe Muster verwenden, um Nutzerattribute in Dashboard-Filter und Dashboard-Elementfilter in LookML einzufügen.

Geplante Dashboards und Looks

Dashboard- und Look-Filter können pro Zeitplan festgelegt werden, einschließlich der Option, ein Nutzerattribut zu verwenden. So können Sie die Ergebnisse der Datenübermittlung für jeden E-Mail-Empfänger anpassen. Du kannst Übermittlungen für Inhalte anpassen, die als einmalige oder wiederkehrende Übermittlungen gesendet werden.

Sie könnten beispielsweise ein Nutzerattribut namens salesforce_username erstellen und den Wert auf den Salesforce-Nutzernamen jedes Nutzers festlegen. Legen Sie in einem Dashboard oder Look-Zeitplan einen Filter auf das Nutzerattribut salesforce_username fest, damit jeder Empfänger dieses Dashboard erhält, das nach seinem Salesforce-Nutzernamen gefiltert ist.

Vorbereitung

Nur Looker-Nutzer haben Nutzerattributwerte festgelegt. Daher muss jeder Empfänger der Datenübermittlung ein Looker-Konto haben. Benutzerattribute werden angewendet, indem das Dashboard oder der Look für jeden Empfänger einmal ausgeführt wird.

Konfiguration

Öffnen Sie den Planer für den Look oder das Dashboard:

  1. Wählen Sie im Bereich Filter für den gewünschten Filter die Option Stimmt mit einem Nutzerattribut überein aus.

    Das Auswahlfeld rechts wird automatisch mit einer Liste von Nutzerattributen aktualisiert, die demselben Typ wie der Filter entsprechen. Ihr eigener Wert für jedes Nutzerattribut wird in Klammern angezeigt.

  2. Wählen Sie das gewünschte Nutzerattribut aus.

  3. Klicken Sie neben dem Feld E-Mail-Optionen das Kästchen Ausführungszeitplan als Empfänger an.

Zugriffsfilter

Sie können die Daten, auf die ein Nutzer zugreifen kann, mit Zugriffsfiltern einschränken, die für Sicherheit auf Zeilenebene sorgen. Sie können zwar den Parameter access_grant verwenden, aber mithilfe von Nutzerattributen lassen sich Zugriffsfilter einfacher implementieren und verwalten.

Zugriffsfilter sind eine sichere Möglichkeit, nutzerspezifische Dateneinschränkungen anzuwenden. Durch das Definieren eines oder mehrerer Zugriffsfilter für einen LookML-Explore wird erzwungen, dass die von einem Explore zurückgegebenen Daten basierend auf dem Benutzer gefiltert werden, der die Abfrage ausführt. Zugriffsfilter bieten eine zusätzliche Einschränkungsebene und stellen sicher, dass der Benutzer nur bestimmte Teilmengen der Daten aus einer Datenbankverbindung sehen kann.

Konfiguration

  1. Erstellen Sie ein Nutzerattribut:
    • Legen Sie für die Konfiguration die Option Nutzerzugriff auf Keine (empfohlen) oder Ansehen fest. Ein Nutzerattribut, das so konfiguriert ist, dass es von Nutzern bearbeitet werden kann, kann nicht für einen Zugriffsfilter verwendet werden.
    • Weisen Sie Gruppen oder einzelnen Nutzern Nutzerattributwerte zu.
  2. Fügen Sie in der LookML-Definition für das Explore, in dem Sie den Zugriffsfilter wünschen, einen access_filter-Block mit den folgenden Parametern hinzu:
    • field: der Name des LookML-Felds, nach dem gefiltert werden soll.
    • user_attribute: Der Name des Nutzerattributs, in dem der Wert gespeichert ist, den Sie zum Filtern der Daten verwenden möchten.
  3. Führen Sie eine Abfrage für dieses Explore aus.
  4. Prüfen Sie die WHERE-Klausel in der SQL-Klausel der Abfrage, um sicherzustellen, dass die Daten entsprechend Ihrem Wert für das Nutzerattribut gefiltert werden.

Mit diesem LookML-Code wird sichergestellt, dass Abfragen zu Bestellungen nach Marke gefiltert werden, wobei die jeweilige Marke auf dem vom Nutzer zugewiesenen Wert für ein Nutzerattribut mit dem Namen company basiert:

explore: orders {
  view_name: orders
  access_filter: {
    field: products.brand_name
    user_attribute: company
  }
  join: products {
    foreign_key: orders.product_id
  }
}

Verbindung zu Git-Anbietern herstellen

Für LookML-Projekte können Sie die Git-Authentifizierung über HTTPS konfigurieren. Bei Projekten, die die HTTPS-Git-Authentifizierung verwenden, können sich Nutzer mithilfe von Nutzerattributen in den Git-Konten einzelner Entwickler anmelden, wenn Git-Vorgänge für den Entwickler ausgeführt werden.

Nutzerattribute für Git-Kontopasswörter müssen ausgeblendet werden. Wählen Sie beim Erstellen des Passwortattributs Ja unter der Option Werte ausblenden aus und geben Sie die URL des Git-Anbieters in das Feld Domain-Zulassungsliste ein.

Zugriff mit Zugriffsberechtigungen steuern

Zugriffsberechtigungen, die den Zugriff auf ein LookML-Explore, einen Join, eine Ansicht oder ein Feld einschränken, können Sie mithilfe von Benutzerattributwerten, den Parametern access_grant und required_access_grants erstellen.

So funktionieren Zugriffserteilungen:

  1. Eine Zugriffsberechtigung wird mit dem Parameter access_grant definiert. Im Rahmen der Definition ordnen Sie die Zugriffsberechtigung einem Nutzerattribut zu. Außerdem geben Sie an, welche Nutzerattributwerte Zugriff auf die Zugriffsberechtigung gewähren.
  2. Als Nächstes verwenden Sie den Parameter required_access_grants auf der Ebene Explore, join, view oder field, um die Struktur auf Nutzer zu beschränken, die Zugriff auf alle aufgeführten Zugriffsberechtigungen haben.

Sie können beispielsweise eine Zugriffsberechtigung verwenden, um den Zugriff auf die Dimension „salary“ auf Nutzer zu beschränken, deren Nutzerattribut „department“ den Wert „payroll“ hat.

Weitere Informationen zum Definieren von Zugriffsberechtigungen finden Sie auf der Dokumentationsseite für den Parameter access_grant.

Liquid-Variablen

LookML ermöglicht die Verwendung verschiedener Liquid-Variablen, die für komplexere Arten benutzerdefinierter Ausgaben nützlich sein können. Die Attributwerte eines Nutzers können jetzt in Liquid aufgenommen werden.

Beispiele finden Sie im Abschnitt Verbindung dieser Dokumentationsseite sowie auf der Seite Nutzerattribute für die Einschleusung von dynamischen Schema- und Tabellennamen verwenden.

Google BigQuery-Datenlimits

Bei Verwendung von Google BigQuery als Datenbank stellt Google Ihnen jede Abfrage nach Größe der Anfrage in Rechnung. Um zu verhindern, dass Nutzer versehentlich eine zu teure Abfrage ausführen, können Sie ein Nutzerattribut in der Einstellung Max. Abrechnung Gigabyte in Ihrer BigQuery-Verbindung anwenden. Die Werte, die Sie im Nutzerattribut angeben, sollten die Anzahl der Gigabyte sein, die ein Nutzer in einer einzelnen Abfrage abrufen darf.

Eingebettete Dashboards

Sie können die Daten einschränken, die in eingebetteten Looks und Dashboards angezeigt werden, indem Sie Filterwerte auf Nutzerattributwerten stützen. Weitere Informationen finden Sie im Communitybeitrag Eingebettetes Dashboard als Proof of Concept erstellen (Powered by Looker) .

Lokalisierung

Mit den Nutzerattributen locale und number_format kann die Darstellung von Daten, Visualisierungen und Teilen der Looker-Benutzeroberfläche für bestimmte Nutzer oder Nutzergruppen festgelegt werden. Weitere Informationen finden Sie auf der Dokumentationsseite Looker lokalisieren.

Nutzerattribute und Zugriffsfilter testen

Sie können die Auswirkungen Ihrer Nutzerattribute mit der Looker-Funktion sudo testen. Administratoren (oder Nutzer mit den Berechtigungen see_users und sudo) können im SUDO-Status ein anderer Nutzer verwenden, um Looker zu verwenden.

Wenn Sie sich im Entwicklungsmodus befinden, sind Ihre Änderungen für andere Nutzer erst sichtbar, wenn Sie sie für die Produktion bereitstellen. Wenn Sie Ihre Änderungen nicht bereitgestellt haben, damit sie für andere Benutzer sichtbar sind, werden Ihre Änderungen nicht angezeigt, wenn Sie im SUDO-Status als anderer Benutzer agieren.