Estas prácticas recomendadas reflejan las recomendaciones compartidas por un equipo multifuncional de Lookers experimentados. Estas estadísticas provienen de años de experiencia trabajando con clientes de Looker desde la implementación hasta el éxito a largo plazo. Las prácticas están redactadas para que funcionen para la mayoría de los usuarios y situaciones, pero debes usar tu mejor criterio cuando las implementes.
Administrar los usuarios de forma adecuada es fundamental para garantizar que solo las personas adecuadas tengan acceso a datos, funciones y contenido específicos en Looker. A menos que tengas un sistema abierto completamente, será importante implementar una estrategia de administración de usuarios que garantice que todos los datos y el contenido estén protegidos. El uso de grupos te ayudará con esto y puede evitar la necesidad de agregar, administrar y actualizar el acceso de los usuarios a nivel de usuarios individuales.
Permisos de mapeo
Para comenzar, crea un plan de alto nivel y define los permisos y accesos que se necesitarán en tu base de usuarios.
- Identificar los diferentes conjuntos de datos disponibles en Looker y las combinaciones de estos que deberían estar disponibles para distintos grupos de usuarios Si tu organización tiene un solo modelo, esto es fácil. Si tu organización tiene varios modelos, puede haber varias combinaciones diferentes de modelos (conjuntos de modelos) que deban crearse.
- Identifica los diferentes tipos de usuarios que tienes. Entre los usuarios comunes se incluyen las que pueden ver los paneles, pero no explorar los datos, las que pueden explorar datos, pero no escribir en LookML, las personas que pueden escribir LookML y los administradores. Las funciones que cada uno de estos tipos de usuarios podrá usar se deben configurar mediante conjuntos de permisos.
- Piensen en cómo se intersectan el acceso a los datos (conjuntos de modelos) y el acceso a los atributos (conjuntos de permisos). Por ejemplo, puede haber una gran cantidad de usuarios cuyo acceso a los datos esté restringido a un solo modelo y cuyo acceso a las funciones esté restringido a paneles. Estos datos y el acceso a las funciones se combinarían para crear un rol.
Cómo asignar grupos
Luego, piensa en los grupos funcionales dentro de tu base de usuarios, como Ventas, Finanzas, etc. Estos grupos funcionales deberían reflejarse en los grupos a los que puedes asignar usuarios en Looker. Los grupos se pueden usar para proteger el contenido (paneles y vistas).
- Por ejemplo, puedes tener un departamento de Ventas en tu organización y, dentro de ese departamento, puede haber varios ejecutivos de cuentas junto con un pequeño equipo de Operaciones de Ventas. Puedes crear un grupo de Ventas en Looker y, luego, dentro de este, un subgrupo para Ejecutivos de cuentas y otro para Operaciones de ventas. El grupo de ejecutivos de cuentas podría asignarse a un rol con permisos de lector, mientras que el grupo de operaciones de ventas podría asignarse a un rol con permisos de explorador.
- El acceso a las carpetas (y, por lo tanto, al contenido) se puede administrar con estos grupos. Por ejemplo, dentro de la carpeta Shared, puedes crear una carpeta Sales que solo el departamento de Ventas pueda ver. Los miembros del grupo de ejecutivos de cuentas podrían obtener acceso de lectura a esa carpeta, mientras que el equipo de Operaciones de ventas podría tener la capacidad de administrar el acceso a esa carpeta y editar su contenido.
- Los cambios en el acceso o los permisos para todo el departamento de Ventas se pueden administrar con el grupo Ventas.
- Los cambios en el acceso o los permisos para los ejecutivos de cuentas o el equipo de operaciones de ventas se pueden administrar a nivel del subgrupo.
- Se pueden agregar usuarios nuevos al grupo que corresponda y estos heredarán automáticamente los permisos correspondientes.
Aplica controles a nivel del grupo
Cuando comiences a aplicar controles a nivel del grupo, ten en cuenta las siguientes sugerencias:
- Cuando configures usuarios, no le asignes ningún rol directamente. Simplemente asigna cada usuario a un grupo. Los usuarios que tengan roles y roles individuales basados en la pertenencia a un grupo heredarán todos los roles de las asignaciones individuales y grupales.
- Ten cuidado al ubicar a los usuarios en varios grupos. Los usuarios de varios grupos reciben la suma de todos los privilegios de todos los grupos en los que se encuentran, por lo que debes asegurarte de que los usuarios de varios grupos aún estén limitados al nivel de acceso adecuado.
- Cuando sea posible, asigna valores de atributos de usuario a nivel de grupo.
Para ver cómo se aplican estas prácticas, consulta la página de prácticas recomendadas para configurar el acceso seguro al contenido: Práctica recomendada: ¡Protege tus espacios! Una explicación detallada sobre el acceso al contenido.