最佳做法：透過群組管理使用者

這些最佳做法反映了由多個職能團隊的資深 Looker 分享的建議。這些洞察資料是我們與 Looker 客戶合作多年，從導入到長期成功的經驗所得。這些做法適用於多數使用者和情況，但在導入時，請務必根據自身情況做出最佳判斷。

正確管理使用者非常重要，這樣才能確保只有適當的使用者能存取 Looker 中的特定資料、功能和內容。除非您採用完全開放式系統，否則請務必制定使用者管理策略，確保所有資料和內容安全無虞。使用群組可解決這個問題，避免您需要在個別使用者層級新增、管理及更新使用者存取權。

對應權限

首先，請擬定大致的計畫，並找出使用者群體所需的權限和存取權。

• 找出 Looker 提供的不同資料集，以及不同使用者群組應使用的資料集組合。如果貴機構只有一個型號，這項作業就很簡單。如果貴機構有幾個模型，可能需要建立幾個不同的模型組合 (模型組)。
• 找出您擁有的不同使用者類型。一般使用者包括可查看資訊主頁但無法探索資料的使用者、可探索資料但無法編寫 LookML 的使用者、可編寫 LookML 的使用者，以及管理員。您應使用權限組合設定每個使用者類型可使用的功能。
• 請思考資料存取權 (模型集) 和功能存取權 (權限集) 的交集。舉例來說，許多使用者可能只會存取單一模型的資料，並且只會使用資訊主頁的功能。系統會將這項資料和功能存取權結合，建立角色。

對應群組

接著，請思考使用者群組內的功能性群組，例如銷售、財務等。這些功能性群組應反映在您可在 Looker 中指派使用者的群組中。您可以使用群組保護內容 (資訊主頁和外觀)。

• 舉例來說，貴機構可能有一個銷售部門，而該部門內可能有幾位客戶經理和一個小型業務團隊。您可以在 Looker 中建立「Sales」(銷售) 群組，然後在該群組中為「Account Executives」(業務經理) 和「Sales Ops」(業務營運) 建立子群組。帳戶專員群組可能會對應至具有檢視者權限的角色，而業務營運群組可能會對應至具有探索者權限的角色。
• 您可以使用這些群組管理資料夾存取權，進而管理內容存取權。舉例來說，您可以在「共用」資料夾中建立「Sales」資料夾，只有銷售部門可以查看該資料夾。帳戶專員群組的成員可以獲得該資料夾的「檢視」存取權，而業務營運團隊則可以管理該資料夾的存取權，並編輯其中的內容。
• 您可以使用「Sales」群組管理整個 Sales 部門的存取權或權限變更。
• 您可以在子群組層級管理帳戶專員或業務團隊的存取權或權限。
• 您可以將新使用者新增至適當的群組，系統會自動繼承適當的權限。

在群組層級套用控制項

開始在群組層級套用控制項時，請注意下列提示：

• 設定使用者時，請勿直接將任何角色指派給使用者。只要將每位使用者指派給群組即可。獲派個人角色和群組成員角色的使用者，將繼承個人和群組指派的所有角色。
• 請小心將使用者加入多個群組。屬於多個群組的使用者會獲得所屬所有群組的「所有」特權，因此請確保屬於多個群組的使用者仍受限於適當的存取層級。
• 盡可能在群組層級指派使用者屬性值。

如要瞭解如何實作這些做法，請參閱「最佳做法」頁面，瞭解如何設定安全的內容存取權：最佳做法：保護你的空間！內容存取權操作說明。