Administratoreinstellungen – Nutzerattribute

Mithilfe von Benutzerattributen können Sie die Nutzung für jeden Looker-Nutzer anpassen. Ein Looker-Administrator definiert ein Nutzerattribut und wendet dann einen Nutzerattributwert auf eine Nutzergruppe oder einzelne Nutzer an.

Administratoren können auch Nutzerattribute definieren, für die die Nutzer selbst Werte angeben, z. B. Passwörter oder Kontaktdaten. An verschiedenen Stellen in Looker können die Nutzerattribute referenziert werden, um jedem Nutzer eine individuelle Umgebung zu bieten.

In Looker werden einige Nutzerattribute automatisch berücksichtigt, z. B. email, first_name, landing_page, last_name, full_name, ID, timezone (falls konfiguriert), locale und number_format.

Nutzerattribute ansehen

Die Liste der Nutzerattribute finden Sie im Menü Verwaltung im Bereich Nutzer auf der Seite Nutzerattribute.

Die Tabelle mit den Nutzerattributen enthält den Namen, das Label und den Typ für jedes Nutzerattribut. Weitere Informationen finden Sie im folgenden Abschnitt. Außerdem enthält die Tabelle eine Schaltfläche für Aktionen, die Sie für das Nutzerattribut ausführen können. Bei einigen Attributen wird anstelle einer Schaltfläche für Aktionen „Systemstandard“ angezeigt. Das bedeutet, dass Looker diese Attribute automatisch für jeden Nutzer erstellt. Die standardmäßigen Nutzerattribute des Systems sind für die interne Verwendung durch Looker reserviert und können nicht bearbeitet werden.

Nutzerattribute erstellen

Wenn Sie ein Nutzerattribut definieren möchten, klicken Sie im Menü Verwaltung im Bereich Nutzer auf der Seite Nutzerattribute auf die Schaltfläche Nutzerattribut erstellen. Für jedes Nutzerattribut gelten die folgenden Einstellungen:

  • Name: Der Name des Nutzerattributs für die Verwendung in textbasierten Umgebungen wie LookML. Namen dürfen nur Kleinbuchstaben, Ziffern und Unterstriche enthalten.
  • Label: Die nutzerfreundliche Version des Namens. Standardmäßig ist dies der Name des Attributs, wobei Unterstriche durch Leerzeichen ersetzt und jedes Wort mit einem Großbuchstaben beginnt. Das Label kann jedoch nach Bedarf geändert werden.

  • Datentyp: Mit dieser Einstellung wird geprüft, ob Nutzern für dieses Nutzerattribut gültige Werte zugewiesen sind. Der Datentyp des Nutzerattributs kann einer der folgenden sein:

    • String: Wählen Sie diese Option aus, um ein Nutzerattribut zu erstellen, das genau mit einem Stringwert übereinstimmt, z. B. einem Nutzernamen. Wenn Sie mehrere Stringwerte oder einen Looker-Filterausdruck im Nutzerattributwert verwenden möchten, wählen Sie stattdessen die Option Stringfilter (erweitert) aus. Wenn das Nutzerattribut als Literalstring behandelt werden soll, müssen Sie in der Syntax einfache Anführungszeichen ' verwenden, wie in diesem Beispiel: none '{{ _user_attributes['name_of_attribute'] }}'
    • Zahl: Wählen Sie diese Option aus, um eine einzelne Zahl anzugeben, z. B. die Mitarbeiternummer. Wenn Sie einen Zahlenbereich oder einen Looker-Filterausdruck verwenden möchten, verwenden Sie stattdessen den Nummerfilter (erweitert).
    • Datum/Uhrzeit: Wählen Sie diese Option aus, um ein einzelnes Datum oder eine einzelne Uhrzeit anzugeben, z. B. das Geburtsdatum des Nutzers. Wenn Sie einen Zeitraum oder einen Looker-Filterausdruck verwenden möchten, verwenden Sie stattdessen den Datum/Uhrzeit-Filter (erweitert).
    • Relative URL: Wählen Sie diese Option aus, um eine relative URL wie /browse/boards/2 anzugeben, die auf bestimmte Inhalte wie ein Board, einen Ordner oder eine Markdown-Datei (z. B. eine README- oder Dokumentdatei in einem Projekt) in Ihrer Looker-Instanz verweist. Das Nutzerattribut landing_page hat beispielsweise den Datentyp Relative URL und kann verwendet werden, um eine bestimmte Startseite für einen Nutzer oder eine Gruppe anzugeben.
    • Stringfilter (erweitert): Wählen Sie diese Option aus, um mehrere Stringwerte oder einen Looker-Filterausdruck im Nutzerattribut zuzulassen. Auf der Seite Filterausdrücke finden Sie eine Liste der Filterausdrücke, die Sie für Strings verwenden können.
    • Zahlenfilter (erweitert): Wählen Sie diese Option aus, um einen Bereich von numerischen Werten oder einen Looker-Filterausdruck im Nutzerattribut zuzulassen. Auf der Dokumentationsseite Filterausdrücke finden Sie eine Liste der Filterausdrücke, die Sie für Zahlen verwenden können.
    • Datums-/Zeitfilter (erweitert): Wählen Sie diese Option aus, um im Nutzerattribut einen Zeitraum oder einen Looker-Filterausdruck zuzulassen. Auf der Seite Filterausdrücke finden Sie eine Liste der Filterausdrücke, die Sie für Datum und Uhrzeit verwenden können.

    Verwenden Sie die Datentypen Stringfilter (erweitert), Zahlenfilter (erweitert) und Datum/Uhrzeitfilter (erweitert), um Werte mithilfe von Looker-Filterausdrücken einzugeben. Dadurch wird ein Wertebereich für ein Nutzerattribut zurückgegeben.

  • Nutzerzugriff: Sie können festlegen, inwieweit Nutzer ein Nutzerattribut sehen und bearbeiten können:

    • Kein: Wird nicht auf den Kontoseiten der Nutzer angezeigt.
    • Ansehen: Die Informationen werden auf den Kontoseiten der Nutzer angezeigt, können aber nicht bearbeitet werden.
    • Bearbeiten: Wird auf den Kontoseiten der Nutzer angezeigt und kann von ihnen festgelegt werden.

  • Werte ausblenden: Auch wenn Nutzerattribute für Nutzer sichtbar sind, werden die Werte der Nutzerattribute ausgeblendet, wenn Sie diese Option auf Ja setzen. Das ist nützlich für Passwörter oder andere vertrauliche Informationen. Wenn Sie diesen Wert auf Ja festlegen, wird der Wert des Nutzerattributs in den Drop-down-Menüs für Nutzerattribute auf der Seite Verbindungseinstellungen ausgeblendet. Wenn dieser Wert auf Ja festgelegt ist, kann er nicht mehr auf Nein zurückgesetzt werden. Wenn Sie Werte ausblenden auf Ja festlegen, müssen Sie auch eine Zulassungsliste mit Domains angeben, die als Ziel für das Nutzerattribut zulässig sind.

  • Domain-Zulassungsliste: Wenn Sie die Werte für ein neues Nutzerattribut ausblenden, müssen Sie auch eine Domain-Zulassungsliste mit den URLs angeben, an die das Attribut gesendet werden kann, z. B. Hostnamen für Datenbankverbindungen und URLs für Git-HTTPS-Integrationen von Projekten. Mit dem Platzhalter (*) können Sie die Auslieferung auf mehrere Seiten auf derselben Website aktivieren. Nachdem Sie eine Zulassungsliste für Domains angegeben haben, kann das Nutzerattribut nur an die von Ihnen aufgeführten Ziele gesendet werden.

    Nachdem Sie die Zulassungsliste für dieses Nutzerattribut festgelegt haben, können Sie die Zulassungsliste nicht mehr ändern, um die URLs weniger restriktiv zu machen, wenn dem Nutzerattribut Werte zugewiesen wurden – für einen Nutzer, für eine Gruppe oder durch Festlegen eines Standardwerts. Sie können URLs nur restriktiver festlegen oder sie von der Zulassungsliste entfernen. Wenn die Domain-Zulassungsliste beispielsweise den Eintrag my_domain/route/* enthält, können Sie ihn später nicht in my_domain/* ändern. Wenn Sie die Zulassungsliste weniger restriktiv gestalten möchten, löschen Sie alle vorhandenen Werte, die dem Nutzerattribut zugewiesen sind, einschließlich der Standardwerte.

  • Standardwert festlegen: Klicken Sie dieses Kästchen an, um einen Standardwert festzulegen, falls einem Nutzer kein Wert zugewiesen ist.

Nachdem Sie ein Benutzerattribut definiert haben, können Sie einzelnen Nutzern oder Nutzergruppen Werte zuweisen. Klicken Sie dazu auf der Seite auf die Tabs Nutzerwerte und Gruppenwerte.

Einzelnen Nutzern Werte zuweisen

Nachdem Sie ein Nutzerattribut definiert haben, können Sie einem einzelnen Nutzer einen Wert dafür zuweisen:

  1. Klicken Sie im Menü Verwaltung im Bereich Nutzer auf der Seite Nutzerattribute auf den Tab Nutzerwerte.
  2. Wählen Sie im Drop-down-Menü den Nutzer aus, dem Sie einen Wert zuweisen möchten. Daraufhin wird eine Tabelle mit Werten angezeigt, die für diesen Nutzer gelten.
  3. Klicken Sie auf die Schaltfläche Wert für Nutzer festlegen.
  4. Geben Sie den neuen Wert in das Feld Neuer Wert ein.
  5. Klicken Sie auf Speichern.

Wenn einem einzelnen Nutzer ein Wert zugewiesen wird, hat dieser Wert immer Vorrang vor allen Werten, die den Gruppen dieses Nutzers zugewiesen sind. Auf dem Tab Nutzerwerte sehen Sie, ob einem Nutzerattribut ein benutzerdefinierter Wert zugewiesen wurde, der einen Gruppenwert überschreibt. Neben überschriebenen Werten wird der Text „Überschrieben“ angezeigt. Diese Werte werden nicht berücksichtigt. Neben dem Attributwert für aktive Nutzer wird der Text „Aktueller Wert“ angezeigt.

Wenn Sie einem Nutzerattribut mehrere Werte zuweisen möchten, verwenden Sie den Datentyp String-Filter (erweitert) und geben Sie mehrere Werte durch Kommas getrennt ein. Achten Sie darauf, dass zwischen den Werten kein Leerzeichen vorhanden ist. Sie können beispielsweise den String Executive, Management, Contributors eingeben.

Wenn Sie einem Looker-Administrator oder einem anderen Nutzer alle möglichen Werte zuweisen möchten, verwenden Sie einen Platzhalter im Nutzerattribut:

  • Wenn Sie einem Administrator oder einem anderen Nutzer Zugriff auf alle Werte eines Stringfelds gewähren möchten, legen Sie den Datentyp des Nutzerattributs auf Stringfilter (erweitert) fest und verwenden Sie den Wert %, NULL.

  • Wenn Sie einem Administrator oder einem anderen Nutzer Zugriff auf alle Werte eines Zahlenfelds gewähren möchten, legen Sie den Datentyp des Nutzerattributs auf Zahlenfilter (erweitert) fest und verwenden Sie den Wert <0, >=0, NULL.

Nutzergruppen Werte zuweisen

Sie können einer Nutzergruppe einen Wert für ein Nutzerattribut zuweisen. Wählen Sie auf der Seite Nutzerattribute im Bereich Verwaltung rechts neben dem Attribut, das Sie festlegen möchten, die Option Bearbeiten aus. Führen Sie dann folgende Schritte aus:

  1. Klicken Sie auf den Tab Gruppenwerte.
  2. Klicken Sie auf die Schaltfläche + Gruppe hinzufügen.
  3. Wählen Sie im Drop-down-Menü die Gruppe aus, der Sie einen Wert zuweisen möchten.
  4. Geben Sie im Feld Wert den Wert für die Gruppe ein.
  5. Klicken Sie auf Speichern.

Wenn ein Wert mehreren Gruppen zugewiesen ist, müssen Sie festlegen, welche Gruppe Vorrang haben soll, falls ein Nutzer mehreren Gruppen angehört. Ziehen Sie dazu die Gruppen in die gewünschte Reihenfolge. Jede Gruppe hat Vorrang vor den darunter aufgeführten Gruppen.

Sie können beispielsweise Gruppen für das Führungsteam und das Managementteam haben. Führungskräfte sind auch Manager und gehören daher zu beiden Gruppen. Wenn Sie die Gruppe „Führungsteam“ an die Spitze der Liste ziehen, wird ihren Mitgliedern der Wert Führungskraft statt Manager zugewiesen.

Wenn ein Nutzer einen benutzerdefinierten Wert für ein Nutzerattribut festgelegt hat, wird der Wert, den der Nutzer festgelegt hat, überschrieben.

Wo können Nutzerattribute verwendet werden?

Nutzerattribute haben folgende Funktionen:

Datenbankverbindungen

Für den Host, den Port, die Datenbank, den Nutzernamen, das Passwort und das Schema einer Verbindung kann jeweils der Wert eines Nutzerattributs angegeben werden. Das Feld „Verbindungshost“ akzeptiert kein Nutzerattribut, dessen Nutzerzugriffsebene auf Bearbeitbar festgelegt ist.

Diese Nutzerattribute machen die Verbindung für den Nutzer spezifisch, der eine Abfrage ausführt. Nutzerattribute können auch im Feld Zusätzliche JDBC-Parameter referenziert werden, mit dem der JDBC-Verbindungsstring angepasst wird. Wenn ein Nutzer eine Abfrage über die Verbindung ausführt, werden die dem Nutzer zugewiesenen Nutzerattributwerte angewendet. So kann die Verbindung anhand des Nutzers angepasst werden.

Konfiguration

Jede Verbindung kann so konfiguriert werden, dass Nutzerattribute verwendet werden. Dazu müssen Sie in Looker auf der Seite Verbindungen im Bereich Verwaltung die entsprechende Option aktivieren. Informationen zur Seite Verbindungen finden Sie auf der Dokumentationsseite Verwaltungseinstellungen – Verbindungen. Klicken Sie auf Verbindung hinzufügen, um eine neue Verbindung zu erstellen. Klicken Sie neben einer vorhandenen Verbindung auf Bearbeiten, um sie zu konfigurieren.

Wenn eine Eingabe auf ein Nutzerattribut festgelegt werden kann, wird in Looker neben der Eingabe  die Schaltfläche Nutzerattribut angezeigt.

Klicken Sie auf die Schaltfläche Nutzerattribut, um ein Drop-down-Menü aufzurufen, in dem Sie das gewünschte Nutzerattribut auswählen können. Die Liste enthält den Namen des Nutzerattributs mit dem Wert des Nutzerattributs des aktuellen Nutzers in Klammern.

Wenn Sie im Feld Zusätzliche JDBC-Parameter auf ein Nutzerattribut verweisen möchten, verwenden Sie dieselbe Liquid-Template-Syntax wie in LookML. Nutzerattribute werden über die Liquid-Variable _user_attributes verfügbar gemacht. Wenn Sie beispielsweise auf ein Benutzerattribut namens my_jdbc_param_attribute verweisen möchten, verwenden Sie die folgende Syntax:

my_jdbc_param={{ _user_attributes['name_of_attribute'] }}

Anwendungsfall: Berechtigungen auf Datenbankebene in Looker anwenden

Wenn Ihre Datenbank verschiedene Konten mit unterschiedlichen Zugriffsbeschränkungen hat, können Sie Ihre Datenbankberechtigungen in Looker verwenden. Parameterisieren Sie den Nutzernamen und das Passwort einer Verbindung so, dass jeder Nutzer mit den entsprechenden Anmeldedaten für seine Datenbankzugriffsebene eine Verbindung herstellt. So wird sichergestellt, dass Nutzer keine Daten sehen, auf die sie keinen Zugriff haben sollten. Dies hat jedoch keine Auswirkungen darauf, welche Explores, Dimensionen und Messwerte ihnen in Looker angezeigt werden.

Wenn ein Nutzer beispielsweise so konfiguriert ist, dass er mit einem Konto eine Verbindung zur Datenbank herstellt, das ihm den Zugriff auf die Spalte credit_card_number in der Tabelle user verwehrt, werden alle Dimensionen, die diese Datenbankspalte verwenden, in Looker weiterhin angezeigt. Wenn er versucht, eine Abfrage auszuführen, die diese Dimension enthält, erhält er eine Fehlermeldung von der Datenbank.

Anwendungsfall: Ein Modell für mehrere identische Datenbanken verwenden

Das ist beispielsweise der Fall, wenn Sie mehrere Datenbanken mit genau demselben Schema haben, z. B. wenn die Daten der einzelnen Kunden aus Sicherheitsgründen (z. B. zur Einhaltung des HIPAA) in einer eigenen Datenbank gespeichert werden. Oder Sie möchten, dass Ihre LookML-Entwickler Abfragen in einer Entwicklungskopie einer Produktionsdatenbank ausführen.

Wenn sich diese Datenbanken auf demselben Datenbankserver befinden, müssen Sie keine separaten Verbindungen und Modelle einrichten. Legen Sie stattdessen die Datenbank einer Verbindung auf ein Nutzerattribut fest. Jeder Nutzer wird dann auf die Datenbank verwiesen, die in seinem Wert für das Nutzerattribut Database Name angegeben ist.

Datenaktionen

Datenaktionen können so konfiguriert werden, dass bestimmte Nutzerattribute in die JSON-Nutzlast aufgenommen werden. Verwenden Sie diesen Parameter, um zusammen mit den Daten nutzerspezifische Informationen zu senden, z. B. Anmeldedaten, um einen Vorgang für einen bestimmten Dienst auszuführen.

Konfiguration

Wenn Sie ein Nutzerattribut in eine Datenaktion aufnehmen möchten, fügen Sie der action-Definition einen user_attribute_param-Block hinzu. Jeder Block hat zwei Parameter:

  • user_attribute: Der Name des Nutzerattributs
  • name: Der Name, der in der JSON-Nutzlast verwendet werden soll

In diesem Beispiel werden zwei Nutzerattribute – salesforce_username und salesforce_password – verwendet, um die Salesforce-Anmeldedaten der einzelnen Nutzer in Looker zu speichern. Wenn ein Nutzer die Datenaktion „In Salesforce aktualisieren“ ausführt, sendet Looker seine Salesforce-Anmeldedaten mit der JSON-Nutzlast, die der Empfängerserver zur Authentifizierung bei Salesforce verwenden kann.

dimension: stage_name {
  type: string
  sql: ${TABLE}.stage_name;;
  action: {
    label: "Update in Salesforce"
    url: "https://example.com/my_salesforce_url"
    user_attribute_param: {
      user_attribute: salesforce_username
      name: "username"
    }
    user_attribute_param: {
      user_attribute: salesforce_password
      name: "password"
    }
    form_param: {
      name: "new_stage_name"
      type: string
      required: yes
    }
  }
}

Benutzerdefinierte Aktionen in einem Aktionshub

Sie können eine benutzerdefinierte Aktion so konfigurieren, dass Nutzerattribute enthalten sind, die Nutzer daran hindern, Looker-Inhalte an dieses Aktionsziel zu senden oder zu planen, wenn für dieses Nutzerattribut kein Wert definiert ist.

Konfiguration

Der Parameter params in einer benutzerdefinierten Aktion steht für die Formularfelder, die ein Looker-Administrator auf der Aktivierungsseite der Aktion in der Liste Aktionen im Bereich Verwaltung konfigurieren muss. Fügen Sie in der Aktionsdatei im Parameter params Folgendes ein:

  params = [{
    description: "A description of the param.",
    label: "A label for the param.",
    name: "action_param_name",
    user_attribute_name: "user_attribute_name",
    required: true,
    sensitive: true,
  }]

Dabei ist user_attribute_name das Nutzerattribut, das im Feld Name auf der Seite Nutzerattribute im Bereich Nutzer des Steuerfelds Verwaltung definiert ist. required: true bedeutet, dass für einen Nutzer ein gültiger Wert für dieses Nutzerattribut definiert sein muss, damit er die Aktion bei der Datenübermittlung sehen kann. sensitive: true bedeutet, dass der Wert des Nutzerattributs verschlüsselt ist und nach der Eingabe nicht mehr in der Looker-Benutzeroberfläche angezeigt wird. Sie können mehrere Unterparameter für Nutzerattribute angeben.

Ein Looker-Administrator muss die Formularfelder der Aktion mit dem Nutzerattribut konfigurieren:

  1. Klicken Sie auf der Seite Aktionen im Bereich Verwaltung neben der Aktion auf die Schaltfläche Aktivieren oder Einstellungen.
  2. Klicken Sie für das entsprechende Feld auf das Nutzerattributsymbol  und wählen Sie das gewünschte Nutzerattribut aus.

Weitere Informationen finden Sie auf der Seite Daten über einen Aktions-Hub teilen im Abschnitt Nutzerattribute zu benutzerdefinierten Aktionen hinzufügen.

Filter

Filter in Explores, Looks und Dashboards können auf ein Benutzerattribut festgelegt werden, um die Abfrage an den Nutzer anzupassen, der sie ausführt.

Sie können beispielsweise ein Nutzerattribut mit dem Namen salesforce_username erstellen und jeden Looker-Nutzer so konfigurieren, dass sein Wert für dieses Attribut sein Salesforce-Nutzername ist. Sie können dann in einem Dashboard einen Filter für das Benutzerattribut salesforce_username festlegen. Jeder Nutzer sieht dann ein Dashboard, das nach seinem jeweiligen Salesforce-Nutzernamen gefiltert ist.

Konfiguration

Gehen Sie in einem Explore, Look oder Dashboard so vor:

  1. Wählen Sie für den gewünschten Filter die Option stimmt mit einem Nutzerattribut überein aus.

    Im Auswahlfeld rechts wird automatisch eine Liste mit Nutzerattributen angezeigt, die denselben Typ wie das Feld des Filters haben, z. B. „Zahl“, „String (Text)“ oder „Datum“. In Looker wird der Wert für jedes Nutzerattribut in Klammern angezeigt.

  2. Wählen Sie das gewünschte Nutzerattribut aus.

Erweiterte Filtersyntax

Wenn Sie für den Filter eine komplexere Funktion als eine einfache Gleichheitsprüfung verwenden möchten, wählen Sie Stimmt überein (erweitert) aus und verweisen Sie mit einer Liquid-Variablen auf das Nutzerattribut:

{{ _user_attributes['name_of_attribute'] }}

Sie müssen beispielsweise ein sf_-Präfix zum Wert des salesforce_username-Benutzerattributs hinzufügen, da die Werte in der Datenbank so gespeichert sind. Um das Präfix zum Benutzerattributwert hinzuzufügen, verwenden Sie die Liquid-Variablensyntax _user_attributes:


sf_{{_user_attributes['salesforce_username']}}

Sie können dasselbe Muster verwenden, um Nutzerattribute in LookML-Dashboardfilter und Dashboardelementfilter einzufügen.

Geplante Dashboards und Looks

Dashboard- und Look-Filter können pro Zeitplan festgelegt werden. Dabei ist auch die Verwendung eines Benutzerattributs möglich. So können Sie die Ergebnisse der Datenübermittlung für jeden E-Mail-Empfänger anpassen. Sie können Übermittlungen für Inhalte anpassen, die als einmalige und wiederkehrende Übermittlungen gesendet werden.

Sie können beispielsweise ein Nutzerattribut namens salesforce_username erstellen und den Wert auf den Salesforce-Nutzernamen jedes Nutzers festlegen. Legen Sie für ein Dashboard oder einen Look-Zeitplan einen Filter für das Benutzerattribut salesforce_username fest, damit jeder Empfänger dieses Dashboard nach seinem Salesforce-Nutzernamen gefiltert erhält.

Vorbereitung

Nur Looker-Nutzer haben Werte für Benutzerattribute festgelegt. Daher muss jeder Empfänger der Datenübermittlung ein Looker-Konto haben. Nutzerattribute werden angewendet, indem das Dashboard oder der Look einmal für jeden Empfänger ausgeführt wird.

Konfiguration

Öffnen Sie den Zeitplaner für den Look oder das Dashboard:

  1. Wählen Sie im Bereich Filter für den gewünschten Filter die Option Stimmt mit einem Nutzerattribut überein aus.

    Das Auswahlfeld rechts wird automatisch mit einer Liste von Nutzerattributen aktualisiert, die demselben Typ wie der Filter entsprechen. Ihr eigener Wert für jedes Nutzerattribut wird in Klammern angezeigt.

  2. Wählen Sie das gewünschte Nutzerattribut aus.

  3. Klicken Sie neben dem Feld E-Mail-Optionen auf das Kästchen Zeitplan als Empfänger ausführen.

Zugriffsfilter

Mit Zugriffsfiltern, die für Sicherheit auf Zeilenebene sorgen, können Sie einschränken, auf welche Daten ein Nutzer zugreifen kann. Sie können zwar den Parameter access_grant verwenden, Zugriffsfilter lassen sich aber mit Nutzerattributen einfacher implementieren und verwalten.

Zugriffsfilter bieten eine sichere Möglichkeit, nutzerspezifische Dateneinschränkungen anzuwenden. Wenn Sie einen oder mehrere Zugriffsfilter für ein LookML-Explore definieren, werden die von einem Explore zurückgegebenen Daten basierend auf dem Nutzer gefiltert, der die Abfrage ausführt. Zugriffsfilter bieten somit eine zusätzliche Einschränkung, damit Nutzer nur bestimmte Teilmengen der Daten aus einer Datenbankverbindung sehen können.

Konfiguration

  1. So erstellen Sie ein Nutzerattribut:
    • Konfigurieren Sie Nutzerzugriff auf Kein (empfohlen) oder Anzeigen. Ein Benutzerattribut, das so konfiguriert ist, dass es von Nutzern bearbeitet werden kann, kann nicht für einen Zugriffsfilter verwendet werden.
    • Weisen Sie Gruppen oder einzelnen Nutzern Nutzerattributwerte zu.
  2. Fügen Sie in der LookML-Definition für das Explore, in dem Sie den Zugriffsfilter verwenden möchten, einen access_filter-Block mit den folgenden Parametern hinzu:
    • field: Der Name des LookML-Felds, nach dem gefiltert werden soll
    • user_attribute: Der Name des Nutzerattributs, in dem der Wert gespeichert ist, mit dem die Daten gefiltert werden sollen
  3. Führen Sie eine Abfrage für dieses Explore aus.
  4. Prüfen Sie die WHERE-Klausel der SQL-Abfrage, um sicherzustellen, dass die Daten gemäß dem Wert für das Nutzerattribut gefiltert werden.

Mit dieser LookML-Abfrage werden Abfragen zu Bestellungen nach Marke gefiltert. Die jeweilige Marke basiert auf dem zugewiesenen Wert des Nutzers für ein Nutzerattribut namens company:

explore: orders {
  view_name: orders
  access_filter: {
    field: products.brand_name
    user_attribute: company
  }
  join: products {
    foreign_key: orders.product_id
  }
}

Verbindung zu Git-Anbietern herstellen

Für LookML-Projekte können Sie die Git-Authentifizierung über HTTPS konfigurieren. Bei Projekten, die die HTTPS-Git-Authentifizierung verwenden, können Nutzerattribute verwendet werden, um sich bei den Git-Konten einzelner Entwickler anzumelden, wenn Git-Vorgänge für den Entwickler ausgeführt werden.

Nutzerattribute für Git-Kontopasswörter müssen ausgeblendet sein. Wählen Sie beim Erstellen des Passwortattributs unter Werte ausblenden die Option Ja aus und geben Sie die URL des Git-Anbieters in das Feld Domain-Zulassungsliste ein.

Zugriff mit Zugriffserteilungen steuern

Sie können Zugriffsrechte erstellen, die den Zugriff auf einen LookML-Explore, einen Join, eine Ansicht oder ein Feld mithilfe von Benutzerattributwerten, dem Parameter access_grant und dem Parameter required_access_grants einschränken.

So funktionieren Zugriffsberechtigungen:

  1. Sie definieren eine Zugriffsberechtigung mit dem Parameter access_grant. Im Rahmen der Definition ordnen Sie die Zugriffsberechtigung einem Nutzerattribut zu. Sie geben auch an, welche Werte von Nutzerattributen Zugriff auf die Zugriffsberechtigung gewähren.
  2. Verwenden Sie dann den Parameter required_access_grants auf Ebene der Explore-Datenanalyse, des Joins, der Datenansicht oder des Felds, um diese Struktur auf Nutzer zu beschränken, die Zugriff auf alle aufgeführten Zugriffsberechtigungen haben.

So können Sie beispielsweise den Zugriff auf die Dimension salary auf Nutzer beschränken, die im Nutzerattribut department den Wert payroll haben.

Weitere Informationen zum Definieren von Zugriffsberechtigungen finden Sie auf der Seite mit der Parameterdokumentation zu access_grant.

Liquid-Variablen

In LookML können mehrere unterschiedliche Liquid-Variablen verwendet werden, was für komplexere Arten von benutzerdefinierter Ausgabe nützlich sein kann. Die Attributwerte eines Nutzers können jetzt in Liquid eingefügt werden. Der Liquid-Ausdruck muss die Syntax verwenden, die für Ihren Datenbankdialekt geeignet ist.

Beispiele finden Sie auf dieser Dokumentationsseite im Abschnitt Verbindung und auf der Seite mit Best Practices Nutzerattribute für die dynamische Schema- und Tabellennamen-Injection verwenden.

Datenlimits für Google BigQuery

Wenn Sie Google BigQuery als Datenbank verwenden, berechnet Ihnen Google für jede Abfrage eine Gebühr, die von der Größe der Abfrage abhängt. Damit Nutzer nicht versehentlich zu teure Abfragen ausführen, können Sie in der BigQuery-Verbindung unter Max. in Rechnung gestellte Gigabyte ein Nutzerattribut anwenden. Die Werte, die Sie im Nutzerattribut angeben, sollten der Anzahl der Gigabyte entsprechen, die ein Nutzer in einer einzelnen Abfrage abrufen darf.

Eingebettete Dashboards

Sie können die Daten eingrenzen, die in eingebetteten Suchergebnisseiten und Dashboards angezeigt werden, indem Sie Filterwerte auf Nutzerattributwerte stützen. Weitere Informationen finden Sie im Communitybeitrag Ein eingebettetes Proof-of-Concept-Dashboard (powered by Looker) erstellen .

Lokalisierung

Mit den Nutzerattributen locale und number_format können Sie das Aussehen von Daten, Visualisierungen und Teilen der Looker-Benutzeroberfläche für bestimmte Nutzer oder Nutzergruppen festlegen. Weitere Informationen finden Sie auf der Dokumentationsseite Looker lokalisieren.

Nutzerattribute und Zugriffsfilter testen

Mit der sudo-Funktion von Looker können Sie die Auswirkungen Ihrer Nutzerattribute testen. Administratoren (oder Nutzer mit den Berechtigungensee_users und sudo) können sich als anderer Nutzer anmelden, um zu sehen, wie dieser Looker verwendet.

Im Entwicklungsmodus sind Ihre Änderungen für andere Nutzer erst sichtbar, wenn Sie sie in der Produktion bereitstellen. Falls Sie Ihre Änderungen nicht implementiert haben, damit sie für andere Benutzer sichtbar sind, sehen Sie die Änderungen nicht, wenn Sie im SUDO-Status als anderer Benutzer agieren.