これらのベスト プラクティスは、経験豊富な Looker の部門横断的なチームが共有する推奨事項を反映しています。これらのインサイトは、実装から長期的な成功に至るまで、Looker のお客様との連携に携わった長年の経験に基づいています。このプラクティスは、ほとんどのユーザーと状況に対応できるように設計されていますが、実装の際は慎重に判断してください。
適切なユーザーのみが Looker 内の特定のデータ、機能、コンテンツにアクセスできるようにするには、ユーザーを適切に管理することが重要です。完全なオープン システムがない限り、すべてのデータとコンテンツを確実に保護するユーザー管理戦略を実装することが重要です。グループを使用すると、個々のユーザーレベルでユーザー アクセスを追加、管理、更新する必要がなくなります。
権限をマッピングする
まず、大まかな計画を立て、ユーザーベース全体で必要となる権限とアクセスをマッピングします。
- Looker 内で利用可能なさまざまなデータセットと、さまざまなユーザー グループが利用できるこれらの組み合わせを特定します。組織にモデルが 1 つしかない場合は簡単です。組織に複数のモデルがある場合は、いくつかのモデルの組み合わせ(モデルセット)の作成が必要な場合があります。
- さまざまなユーザーのタイプを特定します。一般ユーザーには、ダッシュボードを表示できるがデータを探索できないユーザー、データを探索できるが LookML を記述できないユーザー、LookML を記述できるユーザー、管理者が含まれます。各ユーザータイプで使用できる機能は、権限セットを使用して設定する必要があります。
- データアクセス(モデルセット)と機能アクセス(権限セット)がどのように重複するかを検討します。たとえば、データアクセスが 1 つのモデルに制限され、機能アクセスがダッシュボードに制限されているユーザーが多数いる場合があります。このデータと機能アクセスを組み合わせてロールを作成します。
グループをマッピングする
次に、ユーザーベース内の機能グループ(営業、財務など)について考えます。これらの機能グループは、Looker 内でユーザーを割り当てることができるグループに反映する必要があります。グループを使用して、コンテンツ(ダッシュボードと Look)を保護できます。
- たとえば、組織に営業部門があり、その部門内に複数のアカウント エグゼクティブと小規模な営業オペレーション チームがある場合、Looker でセールス グループを作成し、そのセールス グループ内にアカウント エグゼクティブ用のサブグループとセールス オペレーション用のサブグループを作成できます。アカウント エグゼクティブ グループは閲覧者の権限を持つロールにマッピングされ、販売オペレーション グループはエクスプローラの権限を持つロールにマッピングされます。
- フォルダ(およびコンテンツ)へのアクセスは、これらのグループを使用して管理できます。たとえば、共有 フォルダ内に、営業部門のみに表示される 営業 フォルダを作成できます。アカウント エグゼクティブ グループのメンバーにはフォルダへの閲覧権限が付与されますが、販売オペレーション チームはそのフォルダへのアクセスを管理し、フォルダ内のコンテンツを編集できます。
- 営業部門全体のアクセス権や権限の変更は、営業グループを使用して管理できます。
- アカウント エグゼクティブと販売事務チームのアクセス権または権限は、サブグループ レベルで管理できます。
- 適切なグループに新しいユーザーを追加でき、適切な権限が自動的に継承されます。
グループレベルで制御を適用する
グループレベルで制御を適用する際は、次のヒントに留意してください。
- ユーザーを設定するときに、ユーザーにロールを直接付与しないでください。各ユーザーをグループに割り当てるだけです。個人としてのロールとグループ メンバーに基づくロールを付与されたユーザーは、個人とグループの両方で割り当てられたすべてのロールを継承します。
- ユーザーを複数のグループに配置する際は注意が必要です。複数のグループに属しているユーザーには、属しているすべてのグループのすべての権限が統合されます。そのため、複数のグループに含まれるユーザーについては、適切なアクセスレベルを維持する必要があります。
- 可能であれば、ユーザー属性値をグループレベルで割り当てます。
これらの該当するプラクティスについては、安全なコンテンツ アクセスの設定に関するベスト プラクティス ページ — ベスト プラクティス: スペースの保護。コンテンツ アクセスのガイドをご覧ください。