Práctica recomendada: gestionar usuarios con grupos
Organízate con las colecciones
Guarda y clasifica el contenido según tus preferencias.
Estas prácticas recomendadas reflejan las recomendaciones de un equipo multidisciplinar de Lookers experimentados. Estas estadísticas se han obtenido a lo largo de años de experiencia trabajando con clientes de Looker, desde la implementación hasta el éxito a largo plazo. Estas prácticas se han redactado para que funcionen en la mayoría de los casos y para la mayoría de los usuarios, pero debes aplicar tu mejor criterio a la hora de implementarlas.
Gestionar a los usuarios correctamente es fundamental para asegurarse de que solo las personas adecuadas tengan acceso a datos, funciones y contenido concretos de Looker. A menos que tengas un sistema completamente abierto, será importante implementar una estrategia de gestión de usuarios que asegure que todos los datos y el contenido estén protegidos. Los grupos te ayudarán a hacerlo y evitarán que tengas que añadir, gestionar y actualizar el acceso de los usuarios de forma individual.
Definir los permisos
Empieza por hacer un plan general y definir los permisos y el acceso que se necesitarán en toda tu base de usuarios.
Identificar los diferentes conjuntos de datos disponibles en Looker y las combinaciones de estos que deberían estar disponibles para los distintos grupos de usuarios. Si tu organización solo tiene un modelo, es fácil. Si tu organización tiene varios modelos, puede que tengas que crear varias combinaciones de modelos (conjuntos de modelos).
Identifica los diferentes tipos de usuarios que tienes. Entre los usuarios habituales se incluyen los que pueden ver paneles de control, pero no explorar datos; los que pueden explorar datos, pero no escribir LookML; los que pueden escribir LookML y los administradores. Las funciones que podrá usar cada uno de estos tipos de usuario deben configurarse mediante conjuntos de permisos.
Piensa en cómo se cruzan el acceso a los datos (conjuntos de modelos) y el acceso a las funciones (conjuntos de permisos). Por ejemplo, puede haber un gran número de usuarios cuyo acceso a los datos esté restringido a un solo modelo y cuyo acceso a las funciones esté restringido a los paneles de control. Estos datos y el acceso a las funciones se combinarían para crear un rol.
Planificar grupos
A continuación, piensa en los grupos funcionales de tu base de usuarios, como Ventas, Finanzas, etc. Estos grupos funcionales deben reflejarse en los grupos a los que puedes asignar usuarios en Looker. Los grupos se pueden usar para proteger contenido (paneles de control y Looks).
Por ejemplo, puede que tu organización tenga un departamento de Ventas y, dentro de ese departamento, varios ejecutivos de cuentas junto con un pequeño equipo de Operaciones de Ventas. Podrías crear un grupo Ventas en Looker y, dentro de él, un subgrupo para los ejecutivos de cuentas y otro para las operaciones de ventas. El grupo Ejecutivos de cuentas podría asignarse a un rol con permisos de lector, y el grupo Operaciones de ventas podría asignarse a un rol con permisos de explorador.
El acceso a las carpetas (y, por lo tanto, al contenido) se puede gestionar mediante estos grupos. Por ejemplo, en la carpeta Compartido, puedes crear una carpeta Ventas que solo pueda ver el departamento de Ventas. Los miembros del grupo de ejecutivos de cuentas podrían tener acceso de lectura a esa carpeta, mientras que el equipo de Operaciones de Ventas podría gestionar el acceso a esa carpeta y editar el contenido que contiene.
Los cambios en el acceso o los permisos de todo el departamento de Ventas se pueden gestionar mediante el grupo Ventas.
Los cambios en el acceso o los permisos de los ejecutivos de cuentas o del equipo de operaciones de ventas se pueden gestionar a nivel de subgrupo.
Los nuevos usuarios se pueden añadir al grupo correspondiente y heredarán automáticamente los permisos adecuados.
Aplicar controles a nivel de grupo
Cuando empieces a aplicar controles a nivel de grupo, ten en cuenta los siguientes consejos:
Cuando configures usuarios, no les asignes ningún rol directamente. Solo tienes que asignar cada usuario a un grupo. Los usuarios a los que se les asignen roles individuales y roles basados en la pertenencia a un grupo heredarán todos los roles de las asignaciones individuales y de grupo.
Ten cuidado al colocar usuarios en varios grupos. Los usuarios que pertenezcan a varios grupos obtendrán la suma de todos los privilegios de los grupos a los que pertenezcan, por lo que debes asegurarte de que los usuarios que pertenezcan a varios grupos sigan teniendo el nivel de acceso adecuado.
Cuando sea posible, asigne valores de atributos de usuario a nivel de grupo.
[[["Es fácil de entender","easyToUnderstand","thumb-up"],["Me ofreció una solución al problema","solvedMyProblem","thumb-up"],["Otro","otherUp","thumb-up"]],[["Es difícil de entender","hardToUnderstand","thumb-down"],["La información o el código de muestra no son correctos","incorrectInformationOrSampleCode","thumb-down"],["Me faltan las muestras o la información que necesito","missingTheInformationSamplesINeed","thumb-down"],["Problema de traducción","translationIssue","thumb-down"],["Otro","otherDown","thumb-down"]],["Última actualización: 2025-08-21 (UTC)."],[],[],null,["# Best practice: Manage users with groups\n\n\u003e *These best practices reflect recommendations shared by a cross-functional team of seasoned Lookers. These insights come from years of experience working with Looker customers from implementation to long-term success. The practices are written to work for most users and situations, but you should use your best judgment when implementing.*\n\n\nManaging users properly is crucial to ensuring that only the appropriate people have access to particular data, features, and content within Looker. Unless you have a completely [open system](/looker/docs/access-levels#configuring_a_completely_open_system), it will be important to implement a strategy for managing users that ensures that all data and content is secured. Using groups will help with this and can prevent the need to add, manage, and update user access at the individual user level.\n\nMap out permissions\n-------------------\n\n\nBegin by making a high-level plan and mapping out the permissions and access that will be required across your user base.\n\n- Identify the different datasets available within Looker and the combinations of these that should be available to different user groups. If your organization has only one model, this is easy. If your organization has several models, there may be a few different combinations of models ([model sets](/looker/docs/admin-panel-users-roles#model_sets)) that need to be created.\n- Identify the different user types that you have. Common users include people who can view dashboards but not explore data, people who can explore data but not write LookML, people who can write LookML, and administrators. The features that each of these user types will be able to use should be set up using [permission sets](/looker/docs/admin-panel-users-roles#permission_sets).\n- Think about how the data access (model sets) and feature access (permission sets) intersect. For example, there may be a large number of users whose data access is restricted to a single model and whose feature access is restricted to dashboards. This data and feature access would be combined to create a role.\n\nMap out groups\n--------------\n\n\nNext, think about the functional groups within your user base, such as Sales, Finance, etc. These functional groups should be reflected in the [groups](/looker/docs/admin-panel-users-groups) you can assign users to within Looker. Groups can be used to secure content (dashboards and Looks).\n\n- For example, you might have a Sales department in your organization, and inside of that department there may be several account executives alongside a small Sales Operations team. You could create a Sales group in Looker, and then inside of the Sales group create one subgroup for Account Executives and another subgroup for Sales Ops. The Account Executives group might map to a role with viewer permissions, and the Sales Ops group might map to a role with explorer permissions.\n- Access to folders --- and therefore to content --- can be [managed using these groups](/looker/docs/organizing-spaces#viewing_and_managing_folder_access_levels). For example, within the **Shared** folder you could create a **Sales** folder that only the Sales department can see. Members of the Account Executives group could be given View access to that folder, while the Sales Ops team might have the ability to manage access to that folder and edit content within it.\n- Changes to access or permissions for the entire Sales department can be managed using the Sales group.\n- Changes to access or permissions for either the Account Executives or the Sales Ops team can be managed at the subgroup level.\n- New users can be added to the appropriate group and will automatically inherit the appropriate permissions.\n\nApply controls at the group level\n---------------------------------\n\nAs you begin to apply controls at the group level, keep the following tips in mind:\n\n\u003cbr /\u003e\n\n- When setting up users, do not give any roles directly to the user. Simply assign each user to a group. Users given individual roles and roles based on group membership will *inherit all roles from both the individual and group assignments*.\n- Take care when placing users in multiple groups. Users in multiple groups get the sum of *all* privileges of all the groups they're in, so ensure that users in multiple groups are still limited to the appropriate level of access.\n- When possible, assign user attribute values at the group level.\n\n\nTo see these practices applied, refer to the Best Practices page on setting up secure content access --- [Best practice: Secure your spaces! A content access walk-through](/looker/docs/best-practices/how-to-secure-your-folders)."]]
