管理面板用户部分的用户页面列出了您 Looker 实例中的所有用户帐号。
查看和搜索用户
用户页面会显示以下信息:
标签页可按类型对用户进行分组:
- 标准用户标签页会显示通过常规身份验证流程或 Looker API 直接登录 Looker 的用户。
- 嵌入用户标签页会显示通过第三方应用进行身份验证的已签名的嵌入用户。
- Looker 支持标签页会显示已被授予您的 Looker 实例访问权限的 Looker 支持团队分析师。
过滤器列表字段可限制系统显示哪些用户。您可以按用户 ID、姓名或电子邮件地址进行过滤。要按 User-ID 进行过滤,请输入 User-ID 以显示该用户。对于姓名和电子邮件地址,当您输入任何字符串时,显示的用户列表会显示姓名或电子邮件地址中包含在过滤器字段中输入的字符串的所有用户。过滤器列表取代了旧版用户页面上的搜索功能。
点击用户列标题可按用户名对表进行升序或降序排序。
每行都列出了用户的姓名、ID 和电子邮件地址,每个行都带有一个表示用户访问权限类型的图标。将光标悬停在该图标上即可查看其代表的内容。
点击相应行以修改用户。若用户无法修改,用户图标上会显示锁形图标。这些用户要么是系统创建的用户(例如“所有用户”群组中的成员),要么是由 LDAP、SAML 或 OpenID Connect 协议在外部管理。
有效凭据列会列出用户对您的 Looker 实例拥有的访问权限类型。
群组列会列出用户所属的所有群组。
角色列列出了分配给用户的所有角色。
点击添加用户按钮,创建新用户。
点击三点状选项菜单以停用用户、以用户身份运行 sudo 或删除用户。
删除用户是不可逆转的操作。在此之前,请考虑贵组织的合规性和安全需求。
添加用户
如要添加用户,请点击添加用户按钮。
在添加新用户页面中,输入或粘贴以英文逗号分隔的电子邮件地址列表,然后选择将分配到各个地址的群组和角色。如要查看群组列表,开始在群组字段中输入内容,系统就会显示包含该文字的所有群组名称。点击保存按钮以创建用户,并选中发送设置电子邮件复选框来发送注册电子邮件。
修改用户
要修改用户,请点击用户所在的行。在修改用户页面上,根据需要调整以下设置。
账号
启用或停用用户的帐号。请考虑停用用户帐号,而不是将其删除。
名字
添加或修改用户的名字(如果适用)。此字段不需要值,但对于组织来说很有用。
姓氏
添加或修改用户的姓氏(如果适用)。此字段不需要值,但对于组织来说很有用。
电子邮件
添加或修改用户的电子邮件地址。当用户登录 Looker 时,该电子邮件地址会用作其用户名。
语言区域
Locale 字段用于设置用户的界面语言和模型语言区域。
如果您希望用户以特定语言查看某些界面 (UI) 文本,Looker 支持下表中显示的界面翻译。在 Locale 字段中输入相应代码。
如果您希望用户查看一个或多个数据模型的本地化版本,请在 Locale 字段中输入相应语言区域的模型字符串文件标题。
如果您希望用户同时查看模型本地化和 Looker 的内置界面翻译,则模型的字符串文件应与下表中相应的语言区域代码具有相同的名称,并且应在 Locale 字段中输入该代码。
如要确认语言区域设置,请点击页面底部的保存。
| 语言 | 语言区域代码和字符串文件名 |
|---|---|
| 英语 | en |
| 捷克语 | cs_CZ |
| 德语 | de_DE |
| 西班牙语(西班牙) | es_ES |
| 芬兰语 | fi_FI |
| 法语(加拿大) | fr_CA |
| 法语(法国) | fr_FR |
| 北印度语 | hi_IN |
| 意大利语 | it_IT |
| 日语 | ja_JP |
| 韩语 | ko_KR |
| 立陶宛语 | lt_LT |
| 挪威语(博克马尔) | nb_NO |
| 荷兰语 | nl_NL |
| 波兰语 | pl_PL |
| 葡萄牙语(巴西) | pt_BR |
| 葡萄牙语 | pt_PT |
| 俄语 | ru_RU |
| 瑞典语 | sv_SE |
| 泰语 | th_TH |
| 土耳其语 | tr_TR |
| 乌克兰语 | uk_UA |
| 简体中文 | zh_CN |
| 繁体中文 | zh_TW |
对于未设置语言区域的用户,Looker 会使用在管理面板的本地化页面上选择的语言区域作为默认语言区域;如果未设置语言区域,则 Looker 默认为 en。
设置自定义语言区域
Looker 开发者可以创建自定义语言区域,仅用于模型本地化。自定义语言区域代码由在模型本地化流程中创建的字符串文件标题指定。如要将该自定义语言区域应用到用户,请执行以下步骤:
在 Locale 字段中输入自定义语言区域代码。您在该字段中输入内容时,之前存在的所有文字都会消失。
点击创建“您的自定义语言区域代码”。
点击页面底部的保存。该代码将被添加到用户的语言区域下拉菜单中。
Looker 界面不支持自定义语言区域。如果您在用户的 Locale 字段中使用自定义语言区域,则该用户的界面会默认采用在实例语言区域中设置的语言。
数字格式
对于数据表和可视化图表中显示的数字,Looker 的默认数字格式设置为 1,234.56。但是,数字格式可以设置为以下任一格式:
- 1,234.56:千位,用逗号分隔;小数点用句点分隔
- 1.234,56:千位,用句点分隔;小数点用英文逗号分隔
- 1 234,56:千位,用空格分隔;小数点用英文逗号分隔
如需详细了解如何使用数字格式设置并查看相关示例,请参阅本地化数字格式文档页面。
时区
如果您在 Looker 实例上启用了用户专属时区,则可以选择该用户在 Looker 中运行查询时使用的时区。
发送设置链接 / 发送重置链接
如果用户从未登录,此按钮将带有发送设置链接标签。如果用户之前登录过,此按钮会被标记为发送重置链接。如果您需要设置或重置密码,可以点击此按钮,向您先前指定的用户的电子邮件地址发送链接。发送给用户的网址将显示在此字段中。如需了解如何在 Looker 中指定密码复杂度要求,请参阅密码要求文档页面。如果用户在一小时内未重置密码,密码的重置链接就会失效。
双重验证 Secret
如果您在实例上启用了双重身份验证 (2FA),则会出现此选项。点击 Reset 按钮,为用户重置 2FA。这会导致 Looker 在下次尝试登录 Looker 实例时提示用户使用 Google 身份验证器应用重新扫描二维码。
API 密钥
API 密钥用于访问 Looker API。API 密钥由 Looker 创建,由客户端 ID 和客户端密钥组成。Looker 需要 API 密钥才能通过 Looker API 执行命令。
如需生成 API 密钥,请点击修改密钥按钮。系统会打开修改用户 API 密钥页面,显示现有的 API 密钥。点击新建 API 密钥按钮,生成新的 API 密钥。
这些 API 密钥的权限与创建它们时所用的用户帐号相同。
最佳做法是为 API 脚本创建专用用户帐号,每个脚本对应一个用户帐号。通过这种方式,您可以为用户账号配置一组特定权限,以便脚本能够执行其功能且仅实现其功能。例如,对于运行查询的 API 脚本,您可以创建具有 access_data 权限的用户账号,但不能创建其他权限。
API 脚本的专用用户帐号可让您通过划分脚本的访问权限来提高安全性。此外,如果您需要停止某个脚本,只需停用(或删除)该脚本的用户帐号即可。在删除任何用户帐号之前,请务必阅读此页面上的移除用户访问权限部分。
群组
列出用户所属的群组。您可以从下拉菜单中选择群组,将用户添加到新群组,也可以点击列表中群组名称旁边的 X,将用户从群组中移除。
也可以在管理面板的群组页面上将用户添加到群组。
角色
列出分配给用户的角色。您可以从下拉列表中选择角色来为用户添加新角色,也可以点击列表中角色名称旁边的 X 来移除用户的角色。
您也可以在角色管理页面上添加角色。
用户属性
设置和取消设置用户用户属性的值。分配给个人用户的值始终会替换由于其所属群组而指定的任何值。无法修改系统设置。
移除用户访问权限
如需移除用户对 Looker 的访问权限,您可以停用或删除其帐号。在大多数情况下,最佳做法是停用该帐号。
下表介绍了停用和删除用户帐号之间的区别:
| 说明 | 停用 | 已删除 |
|---|---|---|
| 用户可以登录 Looker 实例 | 否 | 否 |
| 用户的个人文件夹 | 仍然存在 | 已删除 |
| 用户的个人文件夹中的 Look 和信息中心 | 仍然存在 | 已移至回收站文件夹 |
| 用户保存到共享文件夹的 Look 和信息中心 | 仍存在于共享文件夹中 | 仍存在于共享文件夹中 |
| 用户创建的时间表 | 时间表已停用 | 时间表已删除 |
| 时间表基于用户的内容,但由其他用户创建 | 时间表会继续运行 | 用户的内容会被删除,而基于此内容的时间安排会被删除 |
| 安排将用户列为收件人,并由能够向外部电子邮件账号递送内容的用户创建的时间表 | 时间表将继续正常运行并正常传送(用户会被视为外部用户) | 时间表将继续正常运行并递送(用户会被视为外部用户) |
| 已启用以收件人身份运行时间表并将用户列为收件人的时间表 | 时间表将继续运行,但在下次运行时无法传送给已停用的用户 | 时间安排会继续运行,但无法分发给所有用户并报告错误“run_as_recipient was specified on ScheduledPlan but recipient is not a Looker user” |
| 用户创建的面板 | 仍然存在 | 仍然存在 |
| 用户创建的提醒 | 保持有效状态,但无法在设置了提醒的信息中心内显示或修改,除非管理员自行分配。管理员可以在管理面板的提醒管理管理页面中修改或自行分配提醒。 | 系统会立即从信息中心以及管理面板的提醒管理管理页面中删除提醒。 |
| 用户的历史使用信息 | 已保留 | 大部分数据已被删除 |
停用用户
为禁止用户访问 Looker,最佳做法通常是停用用户帐号。当您停用某个用户帐号后,该用户的使用记录和个人内容会保留。如需详细了解停用用户和删除用户之间的区别,请参阅本页移除用户访问权限部分中的表格。
要停用用户帐号,请从相应用户所在行右侧的三点状选项菜单中选择停用用户。
删除用户
您可以考虑停用用户帐号,而不是删除用户。这会导致用户无法登录,但其信息、内容和历史记录将保持不变。如需详细了解停用用户和删除用户之间的区别,请参阅本页移除用户访问权限部分中的表格。
要删除用户帐号,请在相应用户所在行右侧的三点状选项菜单中选择删除用户。
模拟(模拟)用户
借助 Sudoing,您可以像是其他用户一样浏览 Looker,并拥有其所有权限和能力。
此外,Sudoing 也是一种非常有用的方法,用于验证您是否已正确配置权限和其他功能,或者在用户提交和推送更改之前查看其 LookML 开发情况。
以其他用户的身份运行 sudo 需要 see_users 和 sudo 权限。管理员可以像任何其他用户一样执行 sudo ,包括其他管理员。非管理员用户只能像其他非管理员用户一样执行 sudo。
要以用户身份执行 sudo,请从用户所在行右侧的三点状选项菜单中选择以此用户的身份执行 Sudo:
屏幕顶部的横条警告您处于模拟状态。这样您就可以退出模拟模式状态。在此状态下所做的任何更改都会影响您正在模拟的用户。
如果您处于开发模式,那么在您将更改部署到生产环境之前,其他用户不会看到您的更改。如果您未将更改部署以供其他用户查看,则以其他用户身份执行 sudo 后将看不到您的更改。
如果以签名的嵌入用户的身份进行 Sudo 操作并直接(而不是通过嵌入式 iframe)与 Looker 实例互动,可能会导致意外结果。除了常规权限的限制外,已签名的嵌入用户还会受到嵌入式 iframe 的限制。但是,如果有人以已签名的嵌入用户的身份进行模拟,并且在 iframe 之外进行互动时,则可能不会显示这些限制。
对于使用 OAuth 的数据库连接,例如 Snowflake 和 Google BigQuery,以其他用户的身份执行模拟操作的管理员会在运行查询时使用模拟过的用户的 OAuth 访问令牌。对于 Snowflake 连接,如果用户的访问令牌已过期,则管理员无法代表通过模拟的用户创建新令牌;用户必须登录 Snowflake 并重新授权 Looker。