管理员设置 - 用户

管理面板的用户部分中的用户页面会列出 Looker 实例中的所有用户账号。

查看和搜索用户

用户页面会显示以下信息:

  1. 标签页会按类型对用户进行分组:

    • 标准用户标签页会显示通过常规身份验证流程或 Looker API 直接登录 Looker 的用户。
    • 嵌入用户标签页会显示通过第三方应用进行身份验证的已签名嵌入用户。
    • Looker 支持标签页会显示已获授权访问您的 Looker 实例的 Looker 支持分析师。
  2. 过滤条件列表字段用于限制显示哪些用户。您可以按用户 ID、姓名或电子邮件地址进行过滤。要按 User-ID 进行过滤,请输入 User-ID 以显示相应用户。对于姓名和电子邮件地址,当您输入任何字符串时,系统会在显示的用户列表中显示姓名或电子邮件地址包含您在过滤条件字段中输入的字符串的所有用户。旧版用户页面上的搜索功能将由过滤器列表取代。

  3. 点击用户列标题可按用户名对表格进行升序或降序排序。

  4. 每一行列出了用户的姓名、ID 和电子邮件地址,还包含一个表示用户访问权限类型的图标。将光标悬停在该图标上即可查看其代表的含义。

    点击相应的行以修改用户。用户图标上会显示一个锁形图标,表示无法编辑的用户。这些用户要么由系统创建(例如“所有用户”群组的成员),要么通过 LDAPSAMLOpenID Connect 协议在外部管理。

  5. 有效凭据列会列出用户对您的 Looker 实例拥有的访问权限类型。

  6. 群组列会列出用户所属的所有群组

  7. 角色列会列出分配给该用户的所有角色

  8. 点击添加用户按钮以创建新用户

  9. 您可以点击三点状 Options(选项)菜单,以停用用户以用户身份 sudo删除用户

    删除用户是不可逆转的操作。在执行此操作之前,请考虑贵组织的合规性和安全需求。

添加用户

如需添加用户,请点击添加用户按钮。

添加新用户页面中,输入或粘贴以逗号分隔的电子邮件地址列表,然后选择要为每个用户分配的群组和角色。如需查看群组列表,请开始在群组字段中输入文本;系统会显示包含该文本的所有群组名称。点击保存按钮以创建用户,如果您已选中发送设置电子邮件复选框,则系统会发送注册电子邮件。

修改用户

如需修改用户,请点击相应用户所在的行。在修改用户页面上,根据需要调整以下设置。

账号

启用或停用用户的账号。不妨停用用户账号,而不是将其删除。

名字

添加或修改用户的名字(如果适用)。此字段不需要填写值,但对于组织目的而言,它可能很有用。

姓氏

添加或修改用户的姓氏(如果适用)。此字段不需要填写值,但对于组织目的而言,它可能很有用。

电子邮件

添加或修改用户的电子邮件地址。当用户登录 Looker 时,该电子邮件地址将用作其用户名。

语言区域

Locale 字段用于设置用户的界面语言和模型语言区域。

如果您希望用户以特定语言查看某些界面 (UI) 文本,Looker 支持下表中显示的界面翻译。在语言区域字段中输入代码。

如果您希望用户查看一个或多个数据模型的本地化版本,请在 Locale 字段中输入相应语言区域的模型字符串文件标题。

如果您希望用户同时查看模型本地化和 Looker 的内置界面翻译,则模型的字符串文件的名称应与下表中的相应语言区域代码相同;并且应在语言区域字段中输入该代码。

如需确认语言区域设置,请点击页面底部的保存

语言 语言区域代码和字符串文件名
英语 en
捷克语 cs_CZ
德语 de_DE
西班牙语(西班牙) es_ES
芬兰语 fi_FI
法语(加拿大) fr_CA
法语(法国) fr_FR
印地语 hi_IN
意大利语 it_IT
日语 ja_JP
韩语 ko_KR
立陶宛语 lt_LT
挪威语(博克马尔语) nb_NO
荷兰语 nl_NL
波兰语 pl_PL
葡萄牙语(巴西) pt_BR
葡萄牙语 pt_PT
俄语 ru_RU
瑞典语 sv_SE
泰语 th_TH
土耳其语 tr_TR
乌克兰语 uk_UA
简体中文 zh_CN
繁体中文 zh_TW

对于未设置语言区域的用户,Looker 会使用管理面板的本地化页面上选择的语言区域作为默认语言区域;如果未在该页面上设置语言区域,Looker 会默认使用 en

设置自定义语言区域

Looker 开发者可以创建自定义语言区域,但只能用于模型本地化。自定义语言区域代码由模型本地化流程中创建的字符串文件的标题指定。如需将该自定义语言区域应用于用户,请执行以下步骤:

  1. Locale(语言区域)字段中输入自定义语言区域代码。当您开始在字段中输入内容时,所有现有文本都会消失。

  2. 点击创建“your_custom_locale_code”

  3. 点击页面底部的保存。系统会将该代码添加到用户的语言区域下拉菜单中。

Looker 界面不支持自定义语言区域。如果您在用户的语言区域字段中使用自定义语言区域,则该用户的界面将默认采用在实例语言区域中设置的语言。

数字格式

Looker 中数据表格和可视化图表中显示的数字的默认数字格式设置为 1,234.56。但是,数字格式可以设置为以下任一项:

  • 1,234.56:以英文逗号分隔的千位;以英文句点分隔的小数
  • 1.234,56:以句点分隔的千位;以英文逗号分隔的小数
  • 1 234,56:以空格分隔的千位;以英文逗号分隔的小数

如需详细了解如何使用数字格式设置以及相关示例,请参阅本地化数字格式文档页面。

时区

如果您已在 Looker 实例上启用用户自选时区,则可以选择此用户在 Looker 中运行查询时所使用的时区。

如果用户从未登录,则此按钮会被标记为发送设置链接。如果用户之前已登录,此按钮的标签为发送重置链接。如果您需要设置或重置密码,可以点击此按钮,将链接发送到您之前指定的用户电子邮件地址。如需了解如何在 Looker 中指定密码复杂度要求,请参阅密码要求文档页面。如果用户未在一小时内重置密码,密码的重置链接就会过期。

双重验证 Secret

如果您已在实例上启用双重身份验证 (2FA),则会看到此选项。点击重置按钮,为用户重置 2FA。这会导致 Looker 在用户下次尝试登录 Looker 实例时,提示用户使用 Google 身份验证器应用重新扫描二维码。

API 密钥

API 密钥用于访问 Looker API。API 密钥由 Looker 创建,由客户端 ID 和客户端密钥组成。Looker 需要 API 密钥才能使用 Looker API 执行命令。

如需生成 API 密钥,请点击修改密钥按钮。系统随即会打开修改用户 API 密钥页面,并显示现有 API 密钥。点击新建 API 密钥按钮以生成新的密钥。

API 密钥具有与其创建来源的用户账号相同的权限

最佳做法是为 API 脚本创建专用用户账号,每个脚本对应一个用户账号。这样,您可以为一个用户账号配置一组特定的权限,从而使脚本仅能发挥自身的作用。例如,对于运行查询的 API 脚本,您可以创建具有 access_data 权限但没有其他权限的用户账号。

通过 API 脚本的专用用户账号,您可以通过划分脚本的访问权限来提高安全性。此外,如果您需要停止脚本,可以停用(或删除)该脚本的用户账号。在删除任何用户账号之前,请务必阅读本页中的移除用户访问权限部分。

群组

列出用户所属的群组。您可以从下拉列表中选择群组将用户添加到新群组,也可以点击列表中群组名称旁边的 X 将用户从群组中移除。

您还可以在管理面板的群组页面中将用户添加到群组。

角色

列出分配给用户的角色。您可以从下拉菜单中选择角色,为用户添加新角色;也可以点击列表中角色名称旁边的 X,从用户中移除角色。

您也可以在角色管理页面添加角色。

用户属性

设置和取消设置用户的用户属性值。为单个用户分配的值始终会覆盖因用户加入群组而分配的任何值。系统设置不可修改。

移除用户访问权限

如需移除用户对 Looker 的访问权限,您可以停用或删除其账号。在大多数情况下,最佳做法是停用账号。

下表介绍了停用和删除用户账号之间的区别:

说明 已停用 已删除
用户可以登录 Looker 实例
用户的个人文件夹 仍存在 已删除
用户个人文件夹中的主题和信息中心 仍存在 移至回收站文件夹
用户保存到共享文件夹的 Look 和信息中心 仍存在于“共享文件夹”中 仍存在于“共享文件夹”中
用户创建的时间表 已停用时间表 删除了时间表
基于用户内容但由其他用户创建的时间表 时间表会继续运行 用户内容被删除;根据这些内容创建的时间表将被删除
可将用户列为收件人、由另一位用户创建的能够向外部电子邮件账号递送内容的时间表 时间表将继续照常运行和投放(系统会将用户视为外部用户) 时间表会继续照常运行和投放(系统会将用户视为外部用户)
已启用以收件人身份运行时间表且将用户列为收件人的时间表 时间表将继续运行,但下次运行时不会传送给已停用的用户 时间表会继续运行,但无法向所有用户投放错误 run_as_recipient was specified on ScheduledPlan but recipient is not a Looker user
用户创建的看板 仍然存在 仍然存在
用户创建的提醒 保持有效状态,但在设置提醒的信息中心内看不到,也无法修改,除非由管理员自行分配。管理员可以在管理面板中的提醒管理页面修改提醒或自行分配提醒。 系统会立即从信息中心以及管理面板的提醒管理页面中删除提醒。
用户的历史使用情况信息 Kept 大多数视频已被删除

停用用户

如需禁止用户访问 Looker,通常最佳做法是停用用户账号。如果您停用某个用户账号,系统会保留该用户的使用记录和个人内容。如需详细了解停用和删除用户之间的区别,请参阅本页移除用户访问权限部分中的表格。

要停用某个用户账号,请在相应用户所在行右侧的三点状选项菜单中选择停用用户

删除用户

建议您改为停用用户账号,而不是删除用户。这会阻止用户登录,但他们的信息、内容和历史记录将保持不变。如需详细了解停用用户和删除用户之间的区别,请参阅本页移除用户访问权限部分中的表格。

如需删除用户账号,请从用户所在行右侧的三点状 Options(选项)菜单中选择 Delete User(删除用户)。

模拟(模拟)用户

通过 su 命令,您可以像其他用户一样浏览 Looker,并拥有对方的所有权限和功能。

使用 su 命令还是一种验证您是否已正确配置权限和其他功能,或者在用户提交和推送更改之前查看用户的 LookML 开发内容的实用方法。

若要以其他用户的身份使用 sudo,必须拥有 see_userssudo 权限。管理员可以以任何其他用户(包括其他管理员)的身份使用 sudo。非管理员用户只能以其他非管理员用户的身份使用 sudo 命令。

要使用 sudo 作为用户,请从该用户行右侧的三点状选项菜单中选择 Sudo as this user

屏幕顶部的栏警告您处于模拟状态。这样您就可以退出 sudo 状态。在此状态下所做的任何更改都会影响您模拟的用户。

如果您处于开发模式,则在将更改部署到生产环境之前,其他用户无法看到您所做的更改。如果您尚未部署更改以供其他用户查看,则在以其他用户身份 sudo 时,您不会看到所做的更改。

已签名嵌入用户身份进行 sudo 操作,并直接(而非通过嵌入的 iframe)与 Looker 实例进行互动,可能会导致意外结果。除了常规权限带来的限制之外,已登录的嵌入用户还受嵌入的 iframe 限制。但是,如果有人冒充已签名的嵌入用户并在 iframe 之外进行互动,这些限制可能就不存在了。

对于使用 OAuth 的数据库连接(例如 SnowflakeGoogle BigQuery),以其他用户的身份执行模拟操作的管理员会在运行查询时使用该用户的 OAuth 访问令牌。对于 Snowflake 连接,如果用户的访问令牌已过期,管理员将无法代表 sudoed 用户创建新令牌;用户必须登录 Snowflake 并重新为 Looker 授权。