Bonne pratique: Gérer les utilisateurs avec des groupes
Restez organisé à l'aide des collections
Enregistrez et classez les contenus selon vos préférences.
Ces bonnes pratiques reflètent les recommandations partagées par une équipe interfonctionnelle de chercheurs expérimentés. Ces insights sont issus de nos années d'expérience auprès des clients Looker, de l'implémentation à la réussite à long terme. Ces pratiques sont conçues pour fonctionner pour la plupart des utilisateurs et des situations, mais vous devez faire preuve de bon sens lors de leur implémentation.
Une gestion appropriée des utilisateurs est essentielle pour s'assurer que seules les personnes concernées ont accès à des données, fonctionnalités et contenus spécifiques dans Looker. Sauf si vous disposez d'un système ouvert, il est important d'implémenter une stratégie de gestion des utilisateurs qui garantit la sécurité de toutes les données et de tous les contenus. L'utilisation de groupes peut vous aider à y parvenir et vous éviter d'avoir à ajouter, gérer et mettre à jour l'accès des utilisateurs au niveau de chaque utilisateur.
Cartographier les autorisations
Commencez par élaborer un plan d'ensemble et cartographiez les autorisations et les accès qui seront nécessaires pour l'ensemble de votre base d'utilisateurs.
Identifiez les différents ensembles de données disponibles dans Looker et les combinaisons de ces ensembles qui doivent être disponibles pour différents groupes d'utilisateurs. Si votre organisation ne possède qu'un seul modèle, la tâche est simple. Si votre organisation dispose de plusieurs modèles, vous devrez peut-être créer plusieurs combinaisons de modèles (ensembles de modèles).
Identifiez les différents types d'utilisateurs que vous avez. Les utilisateurs courants incluent les personnes qui peuvent consulter les tableaux de bord, mais pas explorer les données, celles qui peuvent explorer les données, mais pas écrire de code LookML, celles qui peuvent écrire du code LookML et les administrateurs. Les fonctionnalités que chacun de ces types d'utilisateurs pourra utiliser doivent être configurées à l'aide de ensembles d'autorisations.
Réfléchissez à la façon dont l'accès aux données (ensembles de modèles) et l'accès aux fonctionnalités (ensembles d'autorisations) se croisent. Par exemple, un grand nombre d'utilisateurs peuvent avoir un accès limité aux données d'un seul modèle et aux fonctionnalités des tableaux de bord. Ces données et ces droits d'accès aux fonctionnalités sont combinés pour créer un rôle.
Cartographier des groupes
Ensuite, réfléchissez aux groupes fonctionnels de votre base d'utilisateurs, comme les ventes, la finance, etc. Ces groupes fonctionnels doivent être reflétés dans les groupes auxquels vous pouvez attribuer des utilisateurs dans Looker. Les groupes peuvent être utilisés pour sécuriser du contenu (tableaux de bord et présentations).
Par exemple, votre organisation peut avoir un service commercial, qui comprend plusieurs responsables de compte et une petite équipe chargée des opérations commerciales. Vous pouvez créer un groupe "Sales" (Ventes) dans Looker, puis un sous-groupe "Account Executives" (Responsables de compte) et un autre "Sales Ops" (Opérations commerciales) dans ce groupe. Le groupe "Account Executives" peut être mappé à un rôle avec des autorisations de lecteur, et le groupe "Sales Ops" à un rôle avec des autorisations d'explorateur.
L'accès aux dossiers (et donc au contenu) peut être géré à l'aide de ces groupes. Par exemple, dans le dossier Partagé, vous pouvez créer un dossier Ventes que seul le service commercial peut voir. Les membres du groupe "Responsables de compte" peuvent être autorisés à afficher ce dossier, tandis que l'équipe chargée des opérations commerciales peut gérer l'accès à ce dossier et modifier son contenu.
Les modifications apportées aux droits d'accès ou aux autorisations de l'ensemble du service commercial peuvent être gérées à l'aide du groupe "Sales" (Ventes).
Les modifications apportées aux droits d'accès ou aux autorisations des responsables de compte ou de l'équipe chargée des opérations commerciales peuvent être gérées au niveau du sous-groupe.
Vous pouvez ajouter de nouveaux utilisateurs au groupe approprié. Ils hériteront automatiquement des autorisations appropriées.
Appliquer des contrôles au niveau du groupe
Lorsque vous commencez à appliquer des contrôles au niveau du groupe, tenez compte des conseils suivants:
Lorsque vous configurez des utilisateurs, n'attribuez aucun rôle directement à l'utilisateur. Il vous suffit d'attribuer un groupe à chaque utilisateur. Les utilisateurs auxquels sont attribués des rôles individuels et des rôles en fonction de leur appartenance à un groupe héritent de tous les rôles attribués individuellement et au niveau du groupe.
Faites attention lorsque vous placez des utilisateurs dans plusieurs groupes. Les utilisateurs appartenant à plusieurs groupes bénéficient de la somme de tous les droits de tous les groupes auxquels ils appartiennent. Assurez-vous donc que les utilisateurs appartenant à plusieurs groupes restent limités au niveau d'accès approprié.
Dans la mesure du possible, attribuez des valeurs d'attribut utilisateur au niveau du groupe.
Sauf indication contraire, le contenu de cette page est régi par une licence Creative Commons Attribution 4.0, et les échantillons de code sont régis par une licence Apache 2.0. Pour en savoir plus, consultez les Règles du site Google Developers. Java est une marque déposée d'Oracle et/ou de ses sociétés affiliées.
Dernière mise à jour le 2025/07/31 (UTC).
[[["Facile à comprendre","easyToUnderstand","thumb-up"],["J'ai pu résoudre mon problème","solvedMyProblem","thumb-up"],["Autre","otherUp","thumb-up"]],[["Difficile à comprendre","hardToUnderstand","thumb-down"],["Informations ou exemple de code incorrects","incorrectInformationOrSampleCode","thumb-down"],["Il n'y a pas l'information/les exemples dont j'ai besoin","missingTheInformationSamplesINeed","thumb-down"],["Problème de traduction","translationIssue","thumb-down"],["Autre","otherDown","thumb-down"]],["Dernière mise à jour le 2025/07/31 (UTC)."],[],[],null,["# Best practice: Manage users with groups\n\n\u003e *These best practices reflect recommendations shared by a cross-functional team of seasoned Lookers. These insights come from years of experience working with Looker customers from implementation to long-term success. The practices are written to work for most users and situations, but you should use your best judgment when implementing.*\n\n\nManaging users properly is crucial to ensuring that only the appropriate people have access to particular data, features, and content within Looker. Unless you have a completely [open system](/looker/docs/access-levels#configuring_a_completely_open_system), it will be important to implement a strategy for managing users that ensures that all data and content is secured. Using groups will help with this and can prevent the need to add, manage, and update user access at the individual user level.\n\nMap out permissions\n-------------------\n\n\nBegin by making a high-level plan and mapping out the permissions and access that will be required across your user base.\n\n- Identify the different datasets available within Looker and the combinations of these that should be available to different user groups. If your organization has only one model, this is easy. If your organization has several models, there may be a few different combinations of models ([model sets](/looker/docs/admin-panel-users-roles#model_sets)) that need to be created.\n- Identify the different user types that you have. Common users include people who can view dashboards but not explore data, people who can explore data but not write LookML, people who can write LookML, and administrators. The features that each of these user types will be able to use should be set up using [permission sets](/looker/docs/admin-panel-users-roles#permission_sets).\n- Think about how the data access (model sets) and feature access (permission sets) intersect. For example, there may be a large number of users whose data access is restricted to a single model and whose feature access is restricted to dashboards. This data and feature access would be combined to create a role.\n\nMap out groups\n--------------\n\n\nNext, think about the functional groups within your user base, such as Sales, Finance, etc. These functional groups should be reflected in the [groups](/looker/docs/admin-panel-users-groups) you can assign users to within Looker. Groups can be used to secure content (dashboards and Looks).\n\n- For example, you might have a Sales department in your organization, and inside of that department there may be several account executives alongside a small Sales Operations team. You could create a Sales group in Looker, and then inside of the Sales group create one subgroup for Account Executives and another subgroup for Sales Ops. The Account Executives group might map to a role with viewer permissions, and the Sales Ops group might map to a role with explorer permissions.\n- Access to folders --- and therefore to content --- can be [managed using these groups](/looker/docs/organizing-spaces#viewing_and_managing_folder_access_levels). For example, within the **Shared** folder you could create a **Sales** folder that only the Sales department can see. Members of the Account Executives group could be given View access to that folder, while the Sales Ops team might have the ability to manage access to that folder and edit content within it.\n- Changes to access or permissions for the entire Sales department can be managed using the Sales group.\n- Changes to access or permissions for either the Account Executives or the Sales Ops team can be managed at the subgroup level.\n- New users can be added to the appropriate group and will automatically inherit the appropriate permissions.\n\nApply controls at the group level\n---------------------------------\n\nAs you begin to apply controls at the group level, keep the following tips in mind:\n\n\u003cbr /\u003e\n\n- When setting up users, do not give any roles directly to the user. Simply assign each user to a group. Users given individual roles and roles based on group membership will *inherit all roles from both the individual and group assignments*.\n- Take care when placing users in multiple groups. Users in multiple groups get the sum of *all* privileges of all the groups they're in, so ensure that users in multiple groups are still limited to the appropriate level of access.\n- When possible, assign user attribute values at the group level.\n\n\nTo see these practices applied, refer to the Best Practices page on setting up secure content access --- [Best practice: Secure your spaces! A content access walk-through](/looker/docs/best-practices/how-to-secure-your-folders)."]]