这些最佳实践反映了由经验丰富的 Looker 组成的跨职能团队分享的建议。这些数据洞见是我们在与 Looker 客户合作多年的过程中积累的,涵盖从实施到长期成功的各个方面。这些做法适用于大多数用户和情况,但在实施时,您应根据自己的判断。
妥善管理用户对确保只有适当的人员才能访问 Looker 中的特定数据、功能和内容至关重要。除非您采用的是完全开放系统,否则请务必实施用户管理策略,以确保所有数据和内容都处于安全状态。使用群组有助于实现这一点,还可以避免在单个用户级别添加、管理和更新用户访问权限。
映射权限
首先,制定一个大致的计划,并规划整个用户群所需的权限和访问权限。
映射群组
接下来,考虑用户群中的职能群组,例如销售、财务等。这些职能群组应反映在您可以在 Looker 中为用户分配的群组中。群组可用于保护内容(信息中心和外观)。
- 例如,贵组织可能有一个销售部门,该部门内可能有多个客户经理和一个小型销售运营团队。您可以在 Looker 中创建一个“销售”组,然后在“销售”组中为客户经理创建一个子群组,并为销售运营创建另一个子群组。“客户经理”群组可以映射到具有查看者权限的角色,而“销售运营”群组可以映射到具有浏览者权限的角色。
- 您可以使用这些群组管理对文件夹的访问权限(以及对内容的访问权限)。例如,您可以在共享文件夹中创建一个销售文件夹,只有销售部门才能看到该文件夹。您可以向“客户经理”群组的成员授予对该文件夹的“查看”权限,而销售运营团队可能有权管理对该文件夹的访问权限以及修改其中的内容。
- 您可以使用“销售”群组来管理对整个销售部门的访问权限或权限的更改。
- 您可以在子群组一级管理客户经理或销售运营团队的访问权限或权限更改。
- 您可以将新用户添加到相应的群组,他们将自动继承相应的权限。
在群组一级应用控制措施
开始在组一级应用控制设置时,请注意以下提示:
- 设置用户时,请勿直接向用户授予任何角色。只需将每位用户分配到一个群组即可。获得个人角色和基于群组成员资格分配的角色的用户将继承个人分配和群组分配的所有角色。
- 将用户添加到多个群组时,请务必小心。属于多个群组的用户会获得其所属所有群组的所有权限之和,因此请确保属于多个群组的用户仍受限于适当的访问权限级别。
- 请尽可能在组一级分配用户属性值。
如需了解这些做法的应用方式,请参阅关于设置安全内容访问权限的“最佳实践”页面:最佳实践:保护您的聊天室!内容访问演示。