Práctica recomendada: Administra usuarios con grupos
Organiza tus páginas con colecciones
Guarda y categoriza el contenido según tus preferencias.
Estas prácticas recomendadas reflejan las recomendaciones que comparte un equipo multifuncional de Lookers experimentados. Estas estadísticas provienen de años de experiencia trabajando con clientes de Looker, desde la implementación hasta el éxito a largo plazo. Las prácticas se escribieron para funcionar en la mayoría de los usuarios y situaciones, pero debes usar tu mejor criterio cuando las implementes.
Administrar a los usuarios de forma adecuada es fundamental para garantizar que solo las personas adecuadas tengan acceso a datos, funciones y contenido específicos en Looker. A menos que tengas un sistema completamente abierto, será importante implementar una estrategia para administrar a los usuarios que garantice que todos los datos y el contenido estén protegidos. El uso de grupos te ayudará con esto y puede evitar que debas agregar, administrar y actualizar el acceso de los usuarios a nivel individual.
Asigna permisos
Comienza por crear un plan de alto nivel y trazar los permisos y el acceso que se requerirán en toda tu base de usuarios.
Identifica los diferentes conjuntos de datos disponibles en Looker y las combinaciones de estos que deberían estar disponibles para diferentes grupos de usuarios. Si tu organización solo tiene un modelo, esto es fácil. Si tu organización tiene varios modelos, es posible que haya algunas combinaciones diferentes de modelos (conjuntos de modelos) que se deban crear.
Identifica los diferentes tipos de usuarios que tienes. Los usuarios comunes incluyen a las personas que pueden ver paneles, pero no explorar datos, a las que pueden explorar datos, pero no escribir LookML, a las que pueden escribir LookML y a los administradores. Las funciones que podrá usar cada uno de estos tipos de usuarios se deben configurar con conjuntos de permisos.
Piensa en cómo se cruzan el acceso a los datos (conjuntos de modelos) y el acceso a las funciones (conjuntos de permisos). Por ejemplo, puede haber una gran cantidad de usuarios cuyo acceso a los datos se limita a un solo modelo y cuyo acceso a las funciones se limita a los paneles. Este acceso a los datos y las funciones se combinaría para crear un rol.
Asigna grupos
A continuación, piensa en los grupos funcionales dentro de tu base de usuarios, como Ventas, Finanzas, etcétera. Estos grupos funcionales deben reflejarse en los grupos a los que puedes asignar usuarios en Looker. Los grupos se pueden usar para proteger el contenido (paneles y temas).
Por ejemplo, es posible que tengas un departamento de Ventas en tu organización y, dentro de ese departamento, haya varios ejecutivos de cuentas junto con un pequeño equipo de Operaciones de Ventas. Podrías crear un grupo de Ventas en Looker y, luego, dentro de este grupo, crear un subgrupo para los ejecutivos de cuentas y otro para las operaciones de ventas. El grupo de ejecutivos de cuentas podría asignarse a un rol con permisos de visualización, y el grupo de Operaciones de ventas podría asignarse a un rol con permisos de explorador.
El acceso a las carpetas y, por lo tanto, al contenido, se puede administrar con estos grupos. Por ejemplo, dentro de la carpeta Compartida, puedes crear una carpeta Ventas que solo pueda ver el departamento de Ventas. Los miembros del grupo Ejecutivos de cuentas podrían tener acceso de lectura a esa carpeta, mientras que el equipo de Operaciones de Ventas podría tener la capacidad de administrar el acceso a esa carpeta y editar el contenido en ella.
Los cambios en el acceso o los permisos de todo el departamento de Ventas se pueden administrar con el grupo Ventas.
Los cambios en el acceso o los permisos de los ejecutivos de cuentas o del equipo de Operaciones de Ventas se pueden administrar a nivel del subgrupo.
Los usuarios nuevos se pueden agregar al grupo adecuado y heredarán automáticamente los permisos correspondientes.
Aplica controles a nivel del grupo
Cuando comiences a aplicar controles a nivel del grupo, ten en cuenta las siguientes sugerencias:
Cuando configures usuarios, no les otorgues ningún rol directamente. Simplemente asigna cada usuario a un grupo. Los usuarios a los que se les asignan roles individuales y roles basados en la membresía del grupo heredarán todos los roles de las asignaciones individuales y grupales.
Ten cuidado cuando coloques a los usuarios en varios grupos. Los usuarios que pertenecen a varios grupos obtienen la suma de todos los privilegios de todos los grupos a los que pertenecen, por lo que debes asegurarte de que los usuarios que pertenecen a varios grupos sigan teniendo el nivel de acceso adecuado.
Cuando sea posible, asigna valores de atributos de usuario a nivel del grupo.
[[["Fácil de comprender","easyToUnderstand","thumb-up"],["Resolvió mi problema","solvedMyProblem","thumb-up"],["Otro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Información o código de muestra incorrectos","incorrectInformationOrSampleCode","thumb-down"],["Faltan la información o los ejemplos que necesito","missingTheInformationSamplesINeed","thumb-down"],["Problema de traducción","translationIssue","thumb-down"],["Otro","otherDown","thumb-down"]],["Última actualización: 2025-07-31 (UTC)"],[],[],null,["# Best practice: Manage users with groups\n\n\u003e *These best practices reflect recommendations shared by a cross-functional team of seasoned Lookers. These insights come from years of experience working with Looker customers from implementation to long-term success. The practices are written to work for most users and situations, but you should use your best judgment when implementing.*\n\n\nManaging users properly is crucial to ensuring that only the appropriate people have access to particular data, features, and content within Looker. Unless you have a completely [open system](/looker/docs/access-levels#configuring_a_completely_open_system), it will be important to implement a strategy for managing users that ensures that all data and content is secured. Using groups will help with this and can prevent the need to add, manage, and update user access at the individual user level.\n\nMap out permissions\n-------------------\n\n\nBegin by making a high-level plan and mapping out the permissions and access that will be required across your user base.\n\n- Identify the different datasets available within Looker and the combinations of these that should be available to different user groups. If your organization has only one model, this is easy. If your organization has several models, there may be a few different combinations of models ([model sets](/looker/docs/admin-panel-users-roles#model_sets)) that need to be created.\n- Identify the different user types that you have. Common users include people who can view dashboards but not explore data, people who can explore data but not write LookML, people who can write LookML, and administrators. The features that each of these user types will be able to use should be set up using [permission sets](/looker/docs/admin-panel-users-roles#permission_sets).\n- Think about how the data access (model sets) and feature access (permission sets) intersect. For example, there may be a large number of users whose data access is restricted to a single model and whose feature access is restricted to dashboards. This data and feature access would be combined to create a role.\n\nMap out groups\n--------------\n\n\nNext, think about the functional groups within your user base, such as Sales, Finance, etc. These functional groups should be reflected in the [groups](/looker/docs/admin-panel-users-groups) you can assign users to within Looker. Groups can be used to secure content (dashboards and Looks).\n\n- For example, you might have a Sales department in your organization, and inside of that department there may be several account executives alongside a small Sales Operations team. You could create a Sales group in Looker, and then inside of the Sales group create one subgroup for Account Executives and another subgroup for Sales Ops. The Account Executives group might map to a role with viewer permissions, and the Sales Ops group might map to a role with explorer permissions.\n- Access to folders --- and therefore to content --- can be [managed using these groups](/looker/docs/organizing-spaces#viewing_and_managing_folder_access_levels). For example, within the **Shared** folder you could create a **Sales** folder that only the Sales department can see. Members of the Account Executives group could be given View access to that folder, while the Sales Ops team might have the ability to manage access to that folder and edit content within it.\n- Changes to access or permissions for the entire Sales department can be managed using the Sales group.\n- Changes to access or permissions for either the Account Executives or the Sales Ops team can be managed at the subgroup level.\n- New users can be added to the appropriate group and will automatically inherit the appropriate permissions.\n\nApply controls at the group level\n---------------------------------\n\nAs you begin to apply controls at the group level, keep the following tips in mind:\n\n\u003cbr /\u003e\n\n- When setting up users, do not give any roles directly to the user. Simply assign each user to a group. Users given individual roles and roles based on group membership will *inherit all roles from both the individual and group assignments*.\n- Take care when placing users in multiple groups. Users in multiple groups get the sum of *all* privileges of all the groups they're in, so ensure that users in multiple groups are still limited to the appropriate level of access.\n- When possible, assign user attribute values at the group level.\n\n\nTo see these practices applied, refer to the Best Practices page on setting up secure content access --- [Best practice: Secure your spaces! A content access walk-through](/looker/docs/best-practices/how-to-secure-your-folders)."]]
