Mantieni tutto organizzato con le raccolte
Salva e classifica i contenuti in base alle tue preferenze.
Queste best practice riflettono i consigli condivisi da un team interfunzionale di esperti Looker. Questi approfondimenti provengono da anni di esperienza di collaborazione con i clienti di Looker, dall'implementazione al successo a lungo termine. Le best practice sono scritte per funzionare per la maggior parte degli utenti e delle situazioni, ma devi usare il tuo buon senso durante l'implementazione.
La gestione corretta degli utenti è fondamentale per garantire che solo le persone appropriate abbiano accesso a dati, funzionalità e contenuti specifici in Looker. A meno che tu non abbia un sistema completamente aperto, sarà importante implementare una strategia per la gestione degli utenti che garantisca la sicurezza di tutti i dati e i contenuti. L'utilizzo dei gruppi può aiutarti a evitare di dover aggiungere, gestire e aggiornare l'accesso degli utenti a livello di singolo utente.
Mappare le autorizzazioni
Inizia con un piano di alto livello e mappa le autorizzazioni e l'accesso necessari per la tua base utenti.
Identifica i diversi set di dati disponibili in Looker e le combinazioni che devono essere disponibili per diversi gruppi di utenti. Se la tua organizzazione ha un solo modello, è facile. Se la tua organizzazione ha diversi modelli, potrebbero essere necessarie alcune combinazioni diverse di modelli (set di modelli).
Identifica i diversi tipi di utenti di cui disponi. Gli utenti comuni includono persone che possono visualizzare le dashboard, ma non esplorare i dati, persone che possono esplorare i dati, ma non scrivere LookML, persone che possono scrivere LookML e amministratori. Le funzionalità che ciascun tipo di utente potrà utilizzare devono essere configurate utilizzando i set di autorizzazioni.
Pensa a come si intersecano l'accesso ai dati (set di modelli) e l'accesso alle funzionalità (set di autorizzazioni). Ad esempio, potrebbe esserci un numero elevato di utenti il cui accesso ai dati è limitato a un singolo modello e il cui accesso alle funzionalità è limitato alle dashboard. Questi dati e l'accesso alle funzionalità verranno combinati per creare un ruolo.
Mappare i gruppi
Successivamente, pensa ai gruppi funzionali all'interno della tua base utenti, come Vendite, Finanza e così via. Questi gruppi funzionali devono essere riportati nei gruppi a cui puoi assegnare gli utenti in Looker. I gruppi possono essere utilizzati per proteggere i contenuti (dashboard e Look).
Ad esempio, nella tua organizzazione potresti avere un reparto vendite con diversi account executive e un piccolo team di operazioni di vendita. In Looker puoi creare un gruppo di vendita e, all'interno di questo gruppo, un sottogruppo per gli account executive e un altro per le operazioni di vendita. Il gruppo Account Executives potrebbe essere mappato a un ruolo con autorizzazioni di visualizzatore e il gruppo Operations di vendita a un ruolo con autorizzazioni di esploratore.
L'accesso alle cartelle e, di conseguenza, ai contenuti può essere gestito utilizzando questi gruppi. Ad esempio, all'interno della cartella Condivisa puoi creare una cartella Vendite visibile solo al reparto vendite. Ai membri del gruppo Account Executives potrebbe essere concesso l'accesso in visualizzazione alla cartella, mentre il team di Operations potrebbe avere la possibilità di gestire l'accesso alla cartella e modificare i contenuti al suo interno.
Le modifiche all'accesso o alle autorizzazioni per l'intero reparto Vendite possono essere gestite utilizzando il gruppo Vendite.
Le modifiche all'accesso o alle autorizzazioni per gli account executive o il team di operazioni di vendita possono essere gestite a livello di sottogruppo.
I nuovi utenti possono essere aggiunti al gruppo appropriato e erediteranno automaticamente le autorizzazioni appropriate.
Applicare i controlli a livello di gruppo
Quando inizi ad applicare i controlli a livello di gruppo, tieni presente i seguenti suggerimenti:
Quando configuri gli utenti, non assegnare alcun ruolo direttamente all'utente. Basta assegnare ciascun utente a un gruppo. Gli utenti a cui sono stati assegnati ruoli individuali e ruoli in base all'appartenenza al gruppo ereditano tutti i ruoli sia dalle assegnazioni individuali che da quelle di gruppo.
Fai attenzione quando inserisci gli utenti in più gruppi. Gli utenti che fanno parte di più gruppi ottengono la somma di tutti i privilegi di tutti i gruppi di cui fanno parte, quindi assicurati che gli utenti che fanno parte di più gruppi siano comunque limitati al livello di accesso appropriato.
Se possibile, assegna i valori degli attributi utente a livello di gruppo.
[[["Facile da capire","easyToUnderstand","thumb-up"],["Il problema è stato risolto","solvedMyProblem","thumb-up"],["Altra","otherUp","thumb-up"]],[["Difficile da capire","hardToUnderstand","thumb-down"],["Informazioni o codice di esempio errati","incorrectInformationOrSampleCode","thumb-down"],["Mancano le informazioni o gli esempi di cui ho bisogno","missingTheInformationSamplesINeed","thumb-down"],["Problema di traduzione","translationIssue","thumb-down"],["Altra","otherDown","thumb-down"]],["Ultimo aggiornamento 2025-07-31 UTC."],[],[],null,["# Best practice: Manage users with groups\n\n\u003e *These best practices reflect recommendations shared by a cross-functional team of seasoned Lookers. These insights come from years of experience working with Looker customers from implementation to long-term success. The practices are written to work for most users and situations, but you should use your best judgment when implementing.*\n\n\nManaging users properly is crucial to ensuring that only the appropriate people have access to particular data, features, and content within Looker. Unless you have a completely [open system](/looker/docs/access-levels#configuring_a_completely_open_system), it will be important to implement a strategy for managing users that ensures that all data and content is secured. Using groups will help with this and can prevent the need to add, manage, and update user access at the individual user level.\n\nMap out permissions\n-------------------\n\n\nBegin by making a high-level plan and mapping out the permissions and access that will be required across your user base.\n\n- Identify the different datasets available within Looker and the combinations of these that should be available to different user groups. If your organization has only one model, this is easy. If your organization has several models, there may be a few different combinations of models ([model sets](/looker/docs/admin-panel-users-roles#model_sets)) that need to be created.\n- Identify the different user types that you have. Common users include people who can view dashboards but not explore data, people who can explore data but not write LookML, people who can write LookML, and administrators. The features that each of these user types will be able to use should be set up using [permission sets](/looker/docs/admin-panel-users-roles#permission_sets).\n- Think about how the data access (model sets) and feature access (permission sets) intersect. For example, there may be a large number of users whose data access is restricted to a single model and whose feature access is restricted to dashboards. This data and feature access would be combined to create a role.\n\nMap out groups\n--------------\n\n\nNext, think about the functional groups within your user base, such as Sales, Finance, etc. These functional groups should be reflected in the [groups](/looker/docs/admin-panel-users-groups) you can assign users to within Looker. Groups can be used to secure content (dashboards and Looks).\n\n- For example, you might have a Sales department in your organization, and inside of that department there may be several account executives alongside a small Sales Operations team. You could create a Sales group in Looker, and then inside of the Sales group create one subgroup for Account Executives and another subgroup for Sales Ops. The Account Executives group might map to a role with viewer permissions, and the Sales Ops group might map to a role with explorer permissions.\n- Access to folders --- and therefore to content --- can be [managed using these groups](/looker/docs/organizing-spaces#viewing_and_managing_folder_access_levels). For example, within the **Shared** folder you could create a **Sales** folder that only the Sales department can see. Members of the Account Executives group could be given View access to that folder, while the Sales Ops team might have the ability to manage access to that folder and edit content within it.\n- Changes to access or permissions for the entire Sales department can be managed using the Sales group.\n- Changes to access or permissions for either the Account Executives or the Sales Ops team can be managed at the subgroup level.\n- New users can be added to the appropriate group and will automatically inherit the appropriate permissions.\n\nApply controls at the group level\n---------------------------------\n\nAs you begin to apply controls at the group level, keep the following tips in mind:\n\n\u003cbr /\u003e\n\n- When setting up users, do not give any roles directly to the user. Simply assign each user to a group. Users given individual roles and roles based on group membership will *inherit all roles from both the individual and group assignments*.\n- Take care when placing users in multiple groups. Users in multiple groups get the sum of *all* privileges of all the groups they're in, so ensure that users in multiple groups are still limited to the appropriate level of access.\n- When possible, assign user attribute values at the group level.\n\n\nTo see these practices applied, refer to the Best Practices page on setting up secure content access --- [Best practice: Secure your spaces! A content access walk-through](/looker/docs/best-practices/how-to-secure-your-folders)."]]