Estas prácticas recomendadas reflejan las recomendaciones que comparte un equipo multifuncional de Lookers experimentados. Estas estadísticas provienen de años de experiencia trabajando con clientes de Looker, desde la implementación hasta el éxito a largo plazo. Las prácticas se escribieron para funcionar en la mayoría de los usuarios y situaciones, pero debes usar tu mejor criterio cuando las implementes.
Administrar a los usuarios de forma adecuada es fundamental para garantizar que solo las personas adecuadas tengan acceso a datos, funciones y contenido específicos en Looker. A menos que tengas un sistema completamente abierto, será importante implementar una estrategia para administrar a los usuarios que garantice que todos los datos y el contenido estén protegidos. El uso de grupos te ayudará con esto y puede evitar que debas agregar, administrar y actualizar el acceso de los usuarios a nivel individual.
Asigna permisos
Comienza por crear un plan de alto nivel y trazar los permisos y el acceso que se requerirán en toda tu base de usuarios.
- Identifica los diferentes conjuntos de datos disponibles en Looker y las combinaciones de estos que deberían estar disponibles para diferentes grupos de usuarios. Si tu organización solo tiene un modelo, esto es fácil. Si tu organización tiene varios modelos, es posible que haya algunas combinaciones diferentes de modelos (conjuntos de modelos) que se deban crear.
- Identifica los diferentes tipos de usuarios que tienes. Los usuarios comunes incluyen a las personas que pueden ver paneles, pero no explorar datos, a las que pueden explorar datos, pero no escribir LookML, a las que pueden escribir LookML y a los administradores. Las funciones que podrá usar cada uno de estos tipos de usuarios se deben configurar con conjuntos de permisos.
- Piensa en cómo se cruzan el acceso a los datos (conjuntos de modelos) y el acceso a las funciones (conjuntos de permisos). Por ejemplo, puede haber una gran cantidad de usuarios cuyo acceso a los datos se limita a un solo modelo y cuyo acceso a las funciones se limita a los paneles. Este acceso a los datos y las funciones se combinaría para crear un rol.
Asigna grupos
A continuación, piensa en los grupos funcionales dentro de tu base de usuarios, como Ventas, Finanzas, etcétera. Estos grupos funcionales deben reflejarse en los grupos a los que puedes asignar usuarios en Looker. Los grupos se pueden usar para proteger el contenido (paneles y temas).
- Por ejemplo, es posible que tengas un departamento de Ventas en tu organización y, dentro de ese departamento, haya varios ejecutivos de cuentas junto con un pequeño equipo de Operaciones de Ventas. Podrías crear un grupo de Ventas en Looker y, luego, dentro de este grupo, crear un subgrupo para los ejecutivos de cuentas y otro para las operaciones de ventas. El grupo de ejecutivos de cuentas podría asignarse a un rol con permisos de visualización, y el grupo de Operaciones de ventas podría asignarse a un rol con permisos de explorador.
- El acceso a las carpetas y, por lo tanto, al contenido, se puede administrar con estos grupos. Por ejemplo, dentro de la carpeta Compartida, puedes crear una carpeta Ventas que solo pueda ver el departamento de Ventas. Los miembros del grupo Ejecutivos de cuentas podrían tener acceso de lectura a esa carpeta, mientras que el equipo de Operaciones de Ventas podría tener la capacidad de administrar el acceso a esa carpeta y editar el contenido en ella.
- Los cambios en el acceso o los permisos de todo el departamento de Ventas se pueden administrar con el grupo Ventas.
- Los cambios en el acceso o los permisos de los ejecutivos de cuentas o del equipo de Operaciones de Ventas se pueden administrar a nivel del subgrupo.
- Los usuarios nuevos se pueden agregar al grupo adecuado y heredarán automáticamente los permisos correspondientes.
Aplica controles a nivel del grupo
Cuando comiences a aplicar controles a nivel del grupo, ten en cuenta las siguientes sugerencias:
- Cuando configures usuarios, no les otorgues ningún rol directamente. Simplemente asigna cada usuario a un grupo. Los usuarios a los que se les asignan roles individuales y roles basados en la membresía del grupo heredarán todos los roles de las asignaciones individuales y grupales.
- Ten cuidado cuando coloques a los usuarios en varios grupos. Los usuarios que pertenecen a varios grupos obtienen la suma de todos los privilegios de todos los grupos a los que pertenecen, por lo que debes asegurarte de que los usuarios que pertenecen a varios grupos sigan teniendo el nivel de acceso adecuado.
- Cuando sea posible, asigna valores de atributos de usuario a nivel del grupo.
Para ver cómo se aplican estas prácticas, consulta la página Prácticas recomendadas para configurar un acceso seguro al contenido: Práctica recomendada: Protege tus espacios. Una explicación sobre el acceso al contenido