これらのベスト プラクティスには、経験豊富な Looker の機能横断的なチームによる推奨事項が反映されています。これらのインサイトは、実装から長期的な成功に至るまで、Looker のお客様との連携に携わった長年の経験に基づいています。このプラクティスは、ほとんどのユーザーと状況に対応できるように設計されていますが、実装の際は慎重に判断してください。
Looker 内の特定のデータ、機能、コンテンツに適切なユーザーがアクセスできるようにするには、ユーザーを適切に管理することが重要です。完全なオープン システムがない限り、すべてのデータとコンテンツを確実に保護するユーザー管理戦略を実装することが重要です。グループを使用すると、個々のユーザーレベルでユーザー アクセスを追加、管理、更新する必要がなくなります。
権限のマッピング
まず、大まかな計画を作成し、ユーザーベースに必要な権限とアクセス権を計画します。
- Looker 内で利用できるさまざまなデータセットと、さまざまなユーザー グループが利用できるデータセットの組み合わせを特定します。組織にモデルが 1 つしかない場合、これは簡単にできます。組織に複数のモデルがある場合は、いくつかのモデルの組み合わせ(モデルセット)の作成が必要な場合があります。
- さまざまなユーザータイプを特定します。一般的なユーザーには、ダッシュボードを閲覧できてもデータを閲覧できないユーザー、データを探索はできるものの LookML を書き込みできないユーザー、LookML を書き込めるユーザー、管理者が含まれます。各ユーザータイプで使用できる機能は、権限セットを使用して設定する必要があります。
- データアクセス(モデルセット)と機能アクセス(権限セット)がどのように連携するかを考えてください。たとえば、データアクセスが単一のモデルに制限され、機能へのアクセス権がダッシュボードに制限されている多数のユーザーがいる場合があります。このデータと機能へのアクセス権を組み合わせてロールを作成します。
グループを計画する
次に、営業や財務など、ユーザーベースの機能グループを検討します。こうした機能グループは、Looker 内でユーザーを割り当てることができるグループに反映されます。グループを使用してコンテンツ(ダッシュボードと Look)を保護することができます。
- たとえば、組織内に営業部門があり、その部門内に少人数の営業オペレーション チームとともに複数のアカウント エグゼクティブがいるとします。Looker で営業グループを作成し、営業グループ内にアカウント エグゼクティブ用のサブグループと営業部門用のサブグループを作成します。アカウント エグゼクティブ グループは閲覧者権限を持つ役割にマッピングされ、セールス オペレーション グループは参照者権限を持つ役割にマッピングされる可能性があります。
- フォルダ、つまりコンテンツへのアクセスは、これらのグループを使用して管理できます。たとえば、共有 フォルダ内に、営業部門のみに表示される 営業 フォルダを作成できます。アカウント エグゼクティブ グループのメンバーにはフォルダへの閲覧権限が付与されますが、販売オペレーション チームはそのフォルダへのアクセスを管理し、フォルダ内のコンテンツを編集できます。
- 営業部門全体のアクセス権や権限の変更は、営業グループを使用して管理できます。
- アカウント エグゼクティブと販売事務チームのアクセス権または権限は、サブグループ レベルで管理できます。
- 適切なグループに新しいユーザーを追加でき、適切な権限が自動的に継承されます。
グループレベルで制御を適用する
グループレベルで制御を適用する際は、次のヒントに留意してください。
- ユーザーを設定する際は、ユーザーに直接役割を付与しないでください。各ユーザーをグループに割り当てるだけです。個人としてのロールとグループ メンバーに基づくロールを付与されたユーザーは、個人とグループの両方で割り当てられたすべてのロールを継承します。
- ユーザーを複数のグループに配置する場合は注意が必要です。複数のグループに属しているユーザーには、属しているすべてのグループのすべての権限が統合されます。そのため、複数のグループに含まれるユーザーについては、適切なアクセスレベルを維持する必要があります。
- 可能であれば、グループレベルでユーザー属性値を割り当てます。
これらの該当するプラクティスについては、安全なコンテンツ アクセスの設定に関するベスト プラクティス ページ — ベスト プラクティス: スペースの保護。コンテンツ アクセスのガイドをご覧ください。