Verschiedene Ebenen des Inhaltszugriffs bestimmen, welche Nutzer Inhalte in Looker-Ordnern ansehen und bearbeiten dürfen. Während Berechtigungen einem Nutzer entsprechend seiner Rolle zugeordnet sind, wird der Zugriff auf Inhalte einem Ordner zugeordnet und definiert, wie offen der Ordner für Nutzer auf verschiedenen Ebenen ist.
Zugriffsarten für Ordner
Jeder Looker-Nutzer oder -Gruppe kann eine beliebige von zwei Zugriffsebenen für jeden Ordner zugewiesen werden:
Ansicht: Mit dieser Zugriffsebene können Nutzer sehen, dass der Ordner vorhanden ist, können die darin enthaltenen Looks und Dashboards ansehen und die Designs und Dashboards im Ordner kopieren.
Zugriff verwalten, bearbeiten: Mit dieser Zugriffsebene können Nutzer dieselben Aktionen ausführen wie mit der Zugriffsebene Ansicht. Außerdem haben sie die Möglichkeit, folgenden Änderungen am Ordner vorzunehmen:
Weitere Informationen zu Inhaltszugriffen und -berechtigungen finden Sie unter Zugriff auf Inhaltsinhalte steuern und Interaktion von Inhalten und Berechtigungen.
Offene und geschlossene Systeme für den Zugriff auf Ordner
Mit den Looker-Einstellungen können Sie den Nutzerzugriff basierend auf den Richtlinien Ihres Unternehmens und den mit den Ordnern interagierenden Nutzern strukturieren. Grundsätzlich ist das von Ihnen erstellte System einen von drei grundsätzlichen Kategorien zuzuordnen: vollständig offen, offen mit Einschränkungen oder geschlossen.
Zugriffsebenen für Ordner | Beschreibung | Empfohlene Verwendung |
---|---|---|
Vollständig offen | Alle Benutzer können alle geteilten Inhalte anzeigen und bearbeiten. Dies ist die Standardkonfiguration von Looker. | Ein offenes System wird für kleine Unternehmen oder Teams empfohlen, die mit Looker arbeiten, für Unternehmen mit offenen Datenrichtlinien und Unternehmen, in denen die Freigabe bearbeitbarer Berichte im Vordergrund steht. |
Offen mit Einschränkungen | Der Zugriff auf freigegebene Inhalte ist in irgendeiner Weise eingeschränkt, sodass nur einige Nutzer bestimmte Inhalte bearbeiten können oder einige Inhalte für bestimmte Personen überhaupt nicht sichtbar sind. | Ein offenes System mit Einschränkungen empfiehlt sich für mittelgroße oder größere Teams und Unternehmen, stark diversifizierte Nutzer*innen, deren Berichte nicht für alle relevant sind, oder Unternehmen, die möchten, dass Inhalte nur für bestimmte Nutzer sichtbar sind. |
Geschlossen | Dieses System wird auch als Multi-Tenant-Installation bezeichnet. Hier werden Inhalte nach bestimmten Gruppen in Silos zusammengefasst, und es wird verhindert, dass sich Benutzer aus verschiedenen Gruppen untereinander kennen. | Zum Schutz der privaten Daten Ihrer Kunden empfehlen wir den Einsatz eines geschlossenen Systems für Private Label- und SSO-Einbettungsanwendungen, bei denen Kunden Clients im System hosten, die eventuell aus verschiedenen Unternehmen oder Gruppen stammen und nicht kennen sollten. |
Nachdem Sie das gewünschte System festgelegt haben, finden Sie auf dieser Seite die notwendigen Schritte zur Konfiguration. Wir empfehlen, bei der Ersteinrichtung den Bereich Contentzugriff im Bereich Admin zu verwenden, da Sie von einem zentralen Ort aus Änderungen an jedem Ordner vornehmen können.
So wirkt sich der Zugriff auf einen Ordner auf die untergeordneten Ordner aus
Bevor Sie festlegen, wie offen oder geschlossen Ihr System sein soll, ist es wichtig zu verstehen, wie sich die in übergeordneten Ordnern festgelegten Zugriffsebenen auf ihre Unterordner auswirken und welche Elemente in der Hierarchie Sie ändern können und welche nicht.
Zugriffstyp | Vererbungsmuster | Beschreibung |
---|---|---|
Zugriff verwalten und bearbeiten | Wandert die gesamte Ordnerhierarchie nach unten | Wenn Sie einem Nutzer Zugriff auf Zugriff verwalten, Bearbeiten in einem Ordner gewähren, bleibt seine Zugriffsebene für alle Looks, Dashboards und Unterordner in diesem Ordner erhalten. Der Zugriff kann nicht in einem unteren Teil der Ordnerhierarchie gesperrt werden. |
Ansehen | Kann an jeder Stelle in der Hierarchie des Ordners entfernt werden | Wenn Sie die Zugriffsebene Ansehen auf Ordnerebene entfernen, können Nutzer den Ordner und seinen Inhalt nicht mehr sehen. Sie können den Zugriff auf Ansicht auch jederzeit an einer beliebigen Stelle in der Hierarchie entfernen, um den Zugriff auf bestimmte Looks, Dashboards oder Unterordner in einem anderen Ordner einzuschränken. |
Looker-Administratoren haben Zugriff verwalten und bearbeiten auf alle Ordner und damit auf alle Inhalte. So können sie das System verwalten, jeglichen verwaisten Inhalt verhindern und Benutzern bei Problemen helfen.
Vollständig offene Systeme konfigurieren
Die Standardkonfiguration von Looker ermöglicht uneingeschränkten Zugriff auf alle Ordner. Der Gruppe Alle Nutzer wird für den freigegebenen Ordner die Option Zugriff verwalten, bearbeiten zugewiesen. Diese Berechtigung wird für alle Unterordner im freigegebenen Ordner übernommen. Verwalten Sie diese Einstellung im Bereich Inhaltszugriff des Bereichs Verwaltung.
Wenn ein Nutzer über Zugriff verwalten, Bearbeitungszugriff für einen Ordner verfügt, hat er auch die Berechtigung Zugriff verwalten und bearbeiten für alle Inhalte in diesem Ordner, einschließlich aller Unterordner. Das heißt, es gibt in diesem System keinerlei Beschränkungen für den Zugriff auf Inhalte.
Persönliche Ordner haben eine eigene Hierarchie und verfügen über Standardeinstellungen. Die Gruppe Alle Nutzer ist für alle persönlichen Ordner auf Ansehen gesetzt. Jeder Nutzer kann diese Gruppe aus seinem persönlichen Ordner entfernen, wenn er privat bleiben möchte.
Offene Systeme mit Einschränkungen konfigurieren
Sie müssen Looker-Administrator sein, um Ihr System wie hier beschrieben vollständig zu konfigurieren.
Mit diesen Schritten können Sie ein offenes System mit Einschränkungen konfigurieren:
- Plane deine Struktur.
- Gruppen für den detaillierten Zugriff konfigurieren
- Ändern Sie den Zugriff der Gruppe Alle Nutzer zu Ansehen im freigegebenen Ordner.
- Entfernen Sie Alle Nutzer aus allen Ordnern, die nicht im gesamten Unternehmen angezeigt werden sollen.
Planen Sie Ihre Struktur
Wer soll bestimmte Ordner anzeigen und bearbeiten können? Wenn Sie einen Plan entwerfen, bevor Sie den Zugriff konfigurieren, kann er Ihnen das Leben leichter machen. Auf diese Weise können Sie die Änderungen auch während des Vorgangs abhaken, sodass Sie nicht in verschiedenen Ordnern nachschauen müssen. Wenn Sie Nutzer in Gruppen verschieben, können Sie einfacher den Zugriff für verschiedene Abteilungen oder Teams innerhalb Ihres Unternehmens verwalten.
Eine der häufigsten Konfigurationen besteht aus einem Ordner pro Abteilung oder Team. Das sieht dann ungefähr so aus:
- Erstellen Sie in Ihrem geteilten Ordner einen Ordner für eine Abteilung, ein Team oder ein Projekt. In diesem Abschnitt nehmen wir ein Beispiel für ein Finanzteam.
- Weisen Sie dem CFO (oder dem Hauptanalysten im Finanzbereich) für diesen Ordner die Berechtigung Zugriff verwalten, bearbeiten zu. Geben Sie dem restlichen Team Lesezugriff.
- Erstellen Sie zwei Unterordner: einen für bearbeitbare Inhalte und einen für schreibgeschützte Inhalte. Fügen Sie gegebenenfalls einen dritten untergeordneten Ordner für privaten Inhalt hinzu.
- Geben Sie im Unterordner für bearbeitbare Inhalte über eine Finanzgruppe für das gesamte Finanzteam Zugriff verwalten, bearbeiten an. Wenn Sie der Gruppe „Finanzen“ diese Zugriffsebene gegeben haben, können alle darin enthaltenen Mitglieder Inhalt in diesem untergeordneten Ordner hinzufügen, löschen oder ändern.
- Im Unterordner für schreibgeschützte Inhalte gewähren Sie der gesamten Finanzgruppe Lesezugriff. Der CFO kann trotzdem weiterhin Inhalte in diesem Ordner verwalten, bearbeiten, da er diesen Zugriff vom Hauptordner „Finanzen“ übernimmt.
- Entfernen Sie im (optionalen) privaten untergeordneten Ordner die Gruppe „Finanzen“ vollständig. Nur der CFO kann diesen Ordner sehen beziehungsweise dessen Inhalt verwalten.
Konfigurieren Sie Gruppen, um detaillierten Zugriff zu gewähren.
Wenn Sie den Zugriff auf Inhalte einschränken möchten, ist mit Looker-Gruppen das Ganze viel einfacher. Gruppen können genauso Zugriff auf Ordner und untergeordnete Ordner erhalten wie Benutzer. Gruppen können zudem wiederum andere Gruppen enthalten. Weitere Informationen zur Konfiguration von Gruppen finden Sie auf der Seite Gruppen.
Legen Sie zuerst den Zugriff auf einzelne Unterordner fest und richten Sie dann den Zugriff für den gesamten freigegebenen Ordner ein. Da der Zugriff die Hierarchie der Ordner durchläuft, ist es am sichersten, den Zugriff auf die niedrigsten Unterordner einzeln zu ändern. Dann können Sie zwischen den übergeordneten Ordnern wechseln, um ihnen die gewünschte Zugriffsebene zuzuweisen und sicherzustellen, dass Ihre Änderungen nicht mit den Entscheidungen auf niedrigeren Ebenen in Konflikt stehen.
In diesem Beispiel beginnen wir mit den Unterordnern im freigegebenen Ordner. Die folgenden Einstellungen lassen sich im Bereich Contentzugriff des Bereichs Verwaltung verwalten:
- Legen Sie für jeden Ordner im freigegebenen Ordner eine benutzerdefinierte Liste von Nutzern fest.
Weisen Sie den Nutzern und Gruppen, die Inhalte bearbeiten dürfen, die Berechtigung Zugriff verwalten, bearbeiten zu.
Weisen Sie den Nutzern und Gruppen, die Lesezugriff haben sollen, die Berechtigung Ansehen zu.
Bis Sie die Einstellungen für den übergeordneten Ordner der obersten Ebene ändern, wird nichts wirksam. Die Zugriffsebene für die Gruppe Alle Nutzer ist im freigegebenen Ordner auf Zugriff verwalten, Bearbeiten festgelegt und fließt durch alle einzelnen Unterordner. Sie können die Einstellungen für Alle Nutzer in einzelnen Unterordnern erst ändern, wenn die Zugriffsebene für diese Gruppe im freigegebenen Ordner geändert wurde.
Klicken Sie auf den Ordner, den Sie konfigurieren möchten, und dann auf Zugriff verwalten.
Ändern Sie den Zugriff der Gruppe Alle Nutzer zu Ansehen im freigegebenen Ordner.
Ihrer Änderungen werden nun wirksam. Weitere Informationen zum Gebäudeplan
Wenn Sie nicht möchten, dass alle Nutzer Bearbeitungszugriff auf alle Inhalte in Ihrem System haben, klicken Sie für den freigegebenen Ordner auf Zugriff verwalten und ändern Sie Alle Nutzer von Zugriff verwalten, Bearbeiten zu Ansehen.
Wenn Sie dann bestimmte Unterordner nur für bestimmte Gruppen anzeigen möchten, fahren Sie mit dem folgenden Abschnitt fort.
Entfernen Sie die Gruppe All Users (Alle Nutzer) aus Ordnern, die nicht sichtbar sein sollen.
Wenn Sie einen Ordner für eine bestimmte Untergruppe von Nutzern freigeben möchten, entfernen Sie Alle Nutzer vollständig aus dem Ordner. Klicken Sie dazu auf das X
rechts neben der Zugriffsebene des Ordners. Jetzt wird der Ordner nur noch für Nutzer und Gruppen angezeigt, die Sie explizit auflisten.
Geschlossene Systeme konfigurieren
Aktivieren Sie die Option Geschlossenes System nur, wenn Sie Looker als Private Label verwenden oder für Ihre Kunden die SSO-Einbettung verwenden möchten. Intern sollte ein anderes System zum Einsatz kommen. Sie müssen Looker-Administrator sein, um Ihr System wie nachstehend beschrieben vollständig zu konfigurieren.
In Looker ist die Option Geschlossenes System verfügbar, mit der die folgenden Änderungen vorgenommen werden:
- Die Gruppe Alle Nutzer wird entfernt. Es gibt keine Möglichkeit, sich auf alle Benutzer im System als eine Gruppe zu beziehen. Stattdessen sollten Looker-Administratoren eine Gruppe pro Mandanten oder Kunden erstellen wie nachstehend erläutert. In diesem Gespräch gehen wir davon aus, dass jeder Kunde ein Unternehmen ist.
- Alle Benutzerordner werden standardmäßig als privat definiert. Benutzer können weiterhin Inhalte in ihren Ordnern mit anderen Mitgliedern ihrer Gruppe teilen.
Es wird verhindert, dass Benutzer andere Benutzer sehen, die nicht ihrer Gruppe angehören. Wenn also ein Benutzer Mitglied der Gruppe „Unternehmen C“ ist, sieht er nur andere Mitglieder von „Unternehmen C“. Die Mitglieder der Gruppen „Unternehmen A“ und „Unternehmen B“ sieht er nicht.
Mit den Berechtigungen
see_queries
,see_schedules
undsee_users
können Sie auf ein Admin-Steuerfeld zugreifen und die Option Geschlossenes System überschreiben. Wenn also ein Nutzer eine oder mehrere Berechtigungensee_queries
,see_schedules
odersee_users
hat, kann er die Mitglieder der Unternehmen A, B und C im zugehörigen Admin-Steuerfeld sehen.Die Startseite: Zuletzt aufgerufene Inhalte ist ein Beispiel für einen Ort in Looker, an dem der Nutzer nur andere Mitglieder des Unternehmens C und deren Inhalte sieht.
Mit diesen Schritten können Sie ein geschlossenes System konfigurieren:
- Bitten Sie um die Option Geschlossenes System.
- Plane deine Struktur.
- Gruppen für den detaillierten Zugriff konfigurieren
- Aktivieren Sie das geschlossene System im Bereich Verwaltung.
- Weisen Sie jeder Unternehmensgruppe in Ihrem System den Lesezugriff auf den freigegebenen Ordner zu.
- Konfigurieren Sie Zugriffsebenen für jeden Unterordner der freigegebenen Ordner.
- Migrieren Sie die Inhalte zu Unterordnern.
Bei diesen Schritten wird davon ausgegangen, dass sich derzeit keine Inhalte für mehrmandantenfähige Nutzer in den freigegebenen Ordnern befinden. Wenn Sie Inhalte in einem geschlossenen System isolieren und verhindern möchten, dass andere Nutzer oder andere Gruppen sich sehen, verschieben Sie diese Inhalte aus dem freigegebenen Ordner in separate Unterordner, bevor Sie mit den folgenden Schritten beginnen.
Bitten Sie um Verfügbarkeit der Option „Closed System“.
Wenn Sie die Option Geschlossenes System für Ihre Instanz aktivieren möchten, wenden Sie sich an einen Google Cloud-Vertriebsexperten oder öffnen Sie eine Supportanfrage.
Planen Sie Ihre Struktur
Wenn Sie Ihren Plan im Voraus erstellen, ist die Konfiguration Ihres Systems im Folgenden wesentlich einfacher. Dabei sind zwei Hauptbereiche besonders zu berücksichtigen:
Erstens, erstellen Sie für jedes Unternehmen eine eigene Gruppe. In einer Unternehmensgruppe sind alle Benutzer aus dem jeweiligen Unternehmen zusammengefasst und diese Benutzer werden von anderen Unternehmen getrennt behandelt.
Zweitens: Überlegen Sie, ob mehrere Unternehmen denselben Ordner sehen sollen (z. B. für Dashboards, die für alle Unternehmen relevant sind) oder ob Sie für jedes Unternehmen einen übergeordneten Ordner (für unterschiedliche Inhalte, die nur für ein einzelnes Unternehmen gelten sollen) wünschen.
Konfigurieren Sie Gruppen, um detaillierten Zugriff zu gewähren.
Pro Unternehmen sollte mindestens eine Gruppe vorhanden sein. Innerhalb dieser größeren Gruppe können jedoch auch Untergruppen bestehen. Wenn Sie bestimmten Nutzern in einem Unternehmen erlauben möchten, Inhalte zu bearbeiten und zu verwalten, während andere nur Inhalte sehen können, können Sie separate Untergruppen für die verschiedenen Nutzertypen erstellen. Sie können beispielsweise Unternehmen A als Dachgruppe erstellen und dann zwei Untergruppen hinzufügen: Bearbeiter in Unternehmen A und Betrachter in Unternehmen A.
Alle Gruppen, die zu einem bestimmten Unternehmen gehören, sollten unter einer übergeordneten Gruppe zusammengefasst werden.
Informationen zum Konfigurieren von Gruppen finden Sie auf der Dokumentationsseite zu Gruppen.
Aktivieren Sie im Bereich Admin die Option „Geschlossenes System“.
Sie sollten vor dem Einrichten der Zugriffssteuerung für Ordner zuerst die Option Geschlossenes System aktivieren, da durch die Aktivierung der Option Geschlossenes System Änderungen in Ihrem System vorgenommen werden. Weitere Informationen dazu finden Sie in der Einführung zu Geschlossenes System konfigurieren auf dieser Seite. Diese Option befindet sich im Abschnitt Einstellungen des Steuerfelds Allgemein im Looker-Bereich Admin.
Gewähren Sie jeder Unternehmensgruppe den Zugriff Ansicht für den geteilten Ordner
Weisen Sie jeder Unternehmensgruppe für die freigegebenen Ordner Lesezugriff zu. Damit können die Mitglieder dieser Gruppen auf den freigegebenen Ordner zugreifen und den eigenen Ordner des Unternehmens darin ansehen. Wenn eine Gruppe keinen Lesezugriff auf die freigegebenen Ordner hat, kann sie die Ordner ihres eigenen Unternehmens nicht sehen. Verwalten Sie diese Einstellungen im Bereich Contentzugriff des Bereichs Admin.
Zugriffsebenen für jeden untergeordneten Ordner konfigurieren
Legen Sie Zugriffsebenen fest, um zu definieren, wer Inhalte in den einzelnen untergeordneten Ordnern sehen oder bearbeiten kann. Für Unterordner werden standardmäßig die Zugriffseinstellungen der übergeordneten Organisation verwendet, bis Sie die Einstellungen ändern. In diesem Fall kann ein Unternehmen mit Lesezugriff auf den freigegebenen Ordner Inhalte im Unterordner eines anderen Unternehmens aufrufen, sofern Sie den Zugriff auf diesen Unterordner nicht einschränken. Überprüfen Sie jeden Unterordner und beschränken Sie den Zugriff entsprechend.
Inhalt in untergeordnete Ordner migrieren
Verfügt Ihr Unternehmen über Benutzer, die zum Anzeigen ihres eigenen Ordners und anderer persönlicher Ordner berechtigt sind, wird die Migration von allen Inhalten aus diesen persönlichen Ordnern in die entsprechenden Ordner in der geteilten Haupthierarchie empfohlen.