这些最佳实践体现了由经验丰富的 Looker 跨职能团队分享的建议。这些见解源自我们与 Looker 客户合作的多年经验,从实施到长期成功,这些经验总结得出。我们编写的最佳实践适用于大多数用户和情况,但实施时应运用您的最佳判断。
妥善管理用户对于确保只有适当的人员有权访问 Looker 中的特定数据、功能和内容至关重要。除非您拥有完全开放的系统,否则请务必实施用户管理策略,以确保所有数据和内容都安全无虞。使用群组有助于实现这一目标,而且无需在单个用户级别添加、管理和更新用户访问权限。
映射权限
首先制定总体方案,确定整个用户群需要的权限和访问权限。
- 确定 Looker 中可用的不同数据集,以及应可供不同用户群组使用的这些数据集的组合。如果贵组织只有一个模型,则操作起来非常简单。如果组织有多个模型,则可能需要创建几种不同的模型组合(模型集)。
- 确定您的各种用户类型。普通用户包括可以查看信息中心但无法探索数据的人员、可以探索数据但不能编写 LookML 的人员、可以编写 LookML 的人员,以及管理员。应使用权限集对上述每类用户都能够使用的功能进行设置。
- 考虑数据访问权限(模型集)和特征访问权限(权限集)的交叉方式。例如,可能有大量用户的数据访问权限仅限于单个模型,而其功能访问权限仅限信息中心。这些数据和功能访问权限将会合并以创建一个角色。
映射组
接下来,想一想您用户群中的职能群组,例如销售、财务等。这些职能群组应体现在您可以在 Looker 中将用户分配到的群组中。组可用于保护内容(信息中心和 Look)。
- 例如,您的组织中可能有销售部门,而销售部门内可能会有多个客户主管和一个小型销售运营团队。您可以在 Looker 中创建“销售”群组,然后在“销售”群组内,为客户主管和销售运营人员分别创建一个子群组。“客户主管”群组可以映射到具有查看者权限的角色,而“销售运营”群组可以映射到具有查看者权限的角色。
- 您可以使用这些群组管理对文件夹以及内容的访问权限。例如,您可以在共享文件夹中创建只有销售部门可以查看的销售文件夹。客户主管小组的成员可以被授予该文件夹的“查看”权限,而销售运营团队可以管理对该文件夹的访问权限并修改其中的内容。
- 对整个销售部门的访问权限或权限更改可以使用“销售组”进行管理。
- 对客户主管或销售运营团队的访问权限或权限更改可在子组级别进行管理。
- 新用户可被添加到相应的群组,且系统会自动继承相应权限。
在群组级别应用控制措施
当您开始在群组级别应用控件时,请牢记以下提示:
- 设置用户时,请勿直接向用户授予任何角色,只需将每位用户分配到一个群组即可。根据群组成员资格获得个人角色和角色的用户将从个人和群组分配继承所有角色。
- 请将用户添加到多个群组时请务必小心。多个群组中的用户会获得他们所属所有群组的“所有”权限总和,因此请确保多个群组中的用户仍具有适当的访问权限级别。
- 请尽可能在组级别分配用户属性值。
如要查看我们采用的这些做法,请参阅关于设置安全内容访问权限的最佳实践页面 - 最佳实践:保护您的空间!内容访问权限演示。