Ces bonnes pratiques reflètent les recommandations partagées par une équipe interfonctionnelle de chercheurs expérimentés. Ces insights sont issus de nos années d'expérience auprès des clients Looker, de l'implémentation à la réussite à long terme. Ces pratiques sont conçues pour fonctionner pour la plupart des utilisateurs et des situations, mais vous devez faire preuve de bon sens lors de leur implémentation.
Une gestion appropriée des utilisateurs est essentielle pour s'assurer que seules les personnes concernées ont accès à des données, fonctionnalités et contenus spécifiques dans Looker. Sauf si vous disposez d'un système ouvert, il est important d'implémenter une stratégie de gestion des utilisateurs qui garantit la sécurité de toutes les données et de tous les contenus. L'utilisation de groupes peut vous aider à y parvenir et vous éviter d'avoir à ajouter, gérer et mettre à jour l'accès des utilisateurs au niveau de chaque utilisateur.
Cartographier les autorisations
Commencez par élaborer un plan d'ensemble et cartographiez les autorisations et les accès qui seront nécessaires pour l'ensemble de votre base d'utilisateurs.
- Identifiez les différents ensembles de données disponibles dans Looker et les combinaisons de ces ensembles qui doivent être disponibles pour différents groupes d'utilisateurs. Si votre organisation ne possède qu'un seul modèle, la tâche est simple. Si votre organisation dispose de plusieurs modèles, vous devrez peut-être créer plusieurs combinaisons de modèles (ensembles de modèles).
- Identifiez les différents types d'utilisateurs que vous avez. Les utilisateurs courants incluent les personnes qui peuvent consulter les tableaux de bord, mais pas explorer les données, celles qui peuvent explorer les données, mais pas écrire de code LookML, celles qui peuvent écrire du code LookML et les administrateurs. Les fonctionnalités que chacun de ces types d'utilisateurs pourra utiliser doivent être configurées à l'aide de ensembles d'autorisations.
- Réfléchissez à la façon dont l'accès aux données (ensembles de modèles) et l'accès aux fonctionnalités (ensembles d'autorisations) se croisent. Par exemple, un grand nombre d'utilisateurs peuvent avoir un accès limité aux données d'un seul modèle et aux fonctionnalités des tableaux de bord. Ces données et ces droits d'accès aux fonctionnalités sont combinés pour créer un rôle.
Cartographier des groupes
Ensuite, réfléchissez aux groupes fonctionnels de votre base d'utilisateurs, comme les ventes, la finance, etc. Ces groupes fonctionnels doivent être reflétés dans les groupes auxquels vous pouvez attribuer des utilisateurs dans Looker. Les groupes peuvent être utilisés pour sécuriser du contenu (tableaux de bord et présentations).
- Par exemple, votre organisation peut avoir un service commercial, qui comprend plusieurs responsables de compte et une petite équipe chargée des opérations commerciales. Vous pouvez créer un groupe "Sales" (Ventes) dans Looker, puis un sous-groupe "Account Executives" (Responsables de compte) et un autre "Sales Ops" (Opérations commerciales) dans ce groupe. Le groupe "Account Executives" peut être mappé à un rôle avec des autorisations de lecteur, et le groupe "Sales Ops" à un rôle avec des autorisations d'explorateur.
- L'accès aux dossiers (et donc au contenu) peut être géré à l'aide de ces groupes. Par exemple, dans le dossier Partagé, vous pouvez créer un dossier Ventes que seul le service commercial peut voir. Les membres du groupe "Responsables de compte" peuvent être autorisés à afficher ce dossier, tandis que l'équipe chargée des opérations commerciales peut gérer l'accès à ce dossier et modifier son contenu.
- Les modifications apportées aux droits d'accès ou aux autorisations de l'ensemble du service commercial peuvent être gérées à l'aide du groupe "Sales" (Ventes).
- Les modifications apportées aux droits d'accès ou aux autorisations des responsables de compte ou de l'équipe chargée des opérations commerciales peuvent être gérées au niveau du sous-groupe.
- Vous pouvez ajouter de nouveaux utilisateurs au groupe approprié. Ils hériteront automatiquement des autorisations appropriées.
Appliquer des contrôles au niveau du groupe
Lorsque vous commencez à appliquer des contrôles au niveau du groupe, tenez compte des conseils suivants:
- Lorsque vous configurez des utilisateurs, n'attribuez aucun rôle directement à l'utilisateur. Il vous suffit d'attribuer un groupe à chaque utilisateur. Les utilisateurs auxquels sont attribués des rôles individuels et des rôles en fonction de leur appartenance à un groupe héritent de tous les rôles attribués individuellement et au niveau du groupe.
- Faites attention lorsque vous placez des utilisateurs dans plusieurs groupes. Les utilisateurs appartenant à plusieurs groupes bénéficient de la somme de tous les droits de tous les groupes auxquels ils appartiennent. Assurez-vous donc que les utilisateurs appartenant à plusieurs groupes restent limités au niveau d'accès approprié.
- Dans la mesure du possible, attribuez des valeurs d'attribut utilisateur au niveau du groupe.
Pour voir comment appliquer ces pratiques, consultez la page des bonnes pratiques sur la configuration d'un accès sécurisé aux contenus : Bonnes pratiques : sécurisez vos espaces ! Tutoriel sur l'accès aux contenus