Progettazione e configurazione di un sistema di livelli di accesso

I diversi livelli di accesso ai contenuti determinano quali utenti possono visualizzare e modificare i contenuti nelle cartelle Looker. Mentre le autorizzazioni sono associate all'utente in base al suo ruolo, l'accesso ai contenuti è associato a una cartella e definisce il livello di apertura della cartella per gli utenti a vari livelli.

Tipi di accesso alle cartelle

Puoi assegnare uno dei due livelli di accesso a ogni utente o gruppo di Looker per ogni cartella:

• Visualizzazione: con questo livello di accesso, un utente può vedere che la cartella esiste, visualizzare i Look e le dashboard al suo interno e copiare i Look e le dashboard che contiene.

• Manage Access, Edit (Gestione accesso, modifica): questo livello di accesso consente a un utente di fare tutto ciò che è permesso con il livello di accesso View e può anche apportare modifiche alla cartella, ad esempio:

  • Modifica dei look e modifica delle dashboard nella cartella
  • Specificare quali utenti e gruppi di utenti possono visualizzare o gestire la cartella
  • Creare sottocartelle
  • Rinominare, spostare ed eliminare una cartella
  • Spostare look e dashboard
  • Eliminare look e dashboard

Per ulteriori approfondimenti sull'accesso ai contenuti e sulle autorizzazioni, consulta gli articoli Controllo dell'accesso ai contenuti degli utenti e Modalità di interazione tra l'accesso ai contenuti e le autorizzazioni.

Sistemi aperti e chiusi per l'accesso alle cartelle.

Le impostazioni di Looker ti aiuteranno a strutturare l'accesso utente in base ai criteri aziendali e ai tipi di utenti che interagiranno con le cartelle. In generale, il sistema che concepirai rientrerà in tre grandi categorie: completamente aperto, aperto con restrizioni o chiuso.

Livello di accesso alle cartelle	Descrizione	Uso consigliato
Completamente aperto	Tutti gli utenti possono visualizzare e modificare tutti i contenuti condivisi. Questa è la configurazione predefinita di Looker.	Un sistema aperto è consigliato per aziende o team di piccole dimensioni che utilizzano Looker, aziende con criteri aperti in merito ai dati e aziende in cui la condivisione di report modificabili è un caso d'uso primario.
Aperto con restrizioni	L'accesso ai contenuti condivisi è sottoposto a qualche restrizione, in modo che solo alcune persone possano modificare determinati contenuti oppure alcuni contenuti siano completamente invisibili a determinate persone.	Un sistema aperto con restrizioni è consigliato per team e aziende di medie o grandi dimensioni, per basi utenti altamente diversificate in cui i report non sono rilevanti per tutti o per aziende che vogliono che i contenuti siano visibili a tutti, ma modificabili solo da alcuni.
Chiusa	Chiamato anche installazione multitenant, questo sistema isola i contenuti per certi gruppi e impedisce agli utenti di gruppi diversi di avere informazioni sugli altri.	Per salvaguardare le informazioni private dei clienti, consigliamo vivamente di utilizzare un sistema chiuso per i casi d'uso di etichettatura e incorporamento tramite SSO, in cui i clienti ospitano nel sistema dei client che potrebbero appartenere ad aziende o gruppi diversi e che non devono essere a conoscenza gli uni degli altri.

Una volta stabilito quale tipo di sistema vuoi usare, questa pagina ti guiderà nella procedura di configurazione. Per la configurazione iniziale, consigliamo di utilizzare la sezione Content Access (Accesso ai contenuti) del riquadro Admin (Amministratore), che consente di apportare modifiche a ciascuna cartella in un unico posto.

In che modo l'accesso a una cartella influisce sulle relative sottocartelle

Prima di decidere quanto deve essere aperto o chiuso il sistema, è importante comprendere l'effetto dei livelli di accesso impostati nelle cartelle padre sulle relative sottocartelle e che cosa si può o non si può modificare nei livelli inferiori della gerarchia.

Tipo di accesso	Modello di ereditarietà	Descrizione
Gestisci accesso, modifica	Defluisce completamente verso l'alto della gerarchia di cartelle	Dopo aver concesso a un utente l'accesso a Gestisci accesso, Modifica in una cartella, questo livello di accesso verrà mantenuto per tutti i look, le dashboard e le sottocartelle al suo interno. Non potrai bloccare il suo accesso a un livello inferiore della gerarchia di cartelle.
Visualizza	Può essere rimosso in qualsiasi punto all'interno della gerarchia di cartelle	La rimozione dell'accesso di Visualizzazione a livello di cartella revoca la possibilità dell'utente di vedere la cartella e tutti i suoi contenuti. Puoi anche rimuovere l'accesso di tipo View in qualsiasi punto più in basso nella gerarchia per impedire agli utenti di visualizzare determinati look, dashboard o sottocartelle all'interno di una cartella altrimenti visibile.

Gli amministratori di Looker dispongono dell'accesso Gestisci accesso, Modifica a tutte le cartelle e quindi a tutti i contenuti. In questo modo possono gestire il sistema, evitare contenuti orfani e fornire assistenza agli utenti che riscontrano problemi.

Configurare un sistema completamente aperto

La configurazione predefinita di Looker consente l'accesso completamente aperto a tutte le cartelle. Al gruppo All Users (Tutti gli utenti) è assegnato Manage Access, Edit (Gestione accesso, modifica) sulla cartella Shared (Condivisa) e tutte le sottocartelle al suo interno erediteranno quell'accesso. Gestisci questa impostazione dalla sezione Content Access (Accesso ai contenuti) del riquadro Admin (Amministrazione).

Quando un utente dispone dell'accesso Manage Access, Edit (Gestione accesso, Modifica) su una cartella, avrà anche l'accesso Manage Access, Edit (Gestione accesso, modifica) a tutti i contenuti, inclusa tutte le sottocartelle. Ciò significa che non esistono limitazioni relative all'accesso ai contenuti in questo sistema.

Le cartelle personali sono presenti in una gerarchia separata e dispongono anch'esse di impostazioni predefinite. Il gruppo Tutti gli utenti è impostato su Visualizza in tutte le cartelle personali. Ogni utente può scegliere di rimuovere questo gruppo dalla cartella personale se vuole che rimanga privata.

Configurazione di un sistema aperto con restrizioni

Per configurare completamente il sistema, devi essere un amministratore di Looker nel modo descritto qui.

Questi passaggi ti aiuteranno a configurare un sistema aperto con restrizioni:

1. Pianificare la struttura.
2. Configurare i gruppi per un accesso granulare.
3. Impostare l'accesso del gruppo All Users (Tutti gli utenti) su View (Visualizzazione) nella cartella Shared (Condivisa).
4. Rimuovi Tutti gli utenti dalle cartelle che non devono essere visibili dall'intera azienda.

Pianificare la struttura

A chi vuoi consentire di visualizzare e modificare determinate cartelle? Sarà tutto più semplice se delinei il piano prima di iniziare a configurare l'accesso. Inoltre, avrai un punto in cui segnare le modifiche man mano che procedi, evitando così di tornare indietro per eseguire il controllo in varie cartelle. Suddividere gli utenti in gruppi ti aiuterà a gestire l'accesso per diversi reparti o team all'interno dell'azienda.

Una delle configurazioni più comuni prevede una cartella per reparto o team, in modo simile a questo:

• All'interno della cartella Shared (Condivisa), crea una cartella per un reparto, team o progetto. In questa sezione useremo il team Finance (Finanza) come esempio.
• Concedi al CFO, o all'analista principale del team Finance (Finanza), l'accesso Manage Access, Edit (Gestione accesso, modifica) su quella cartella. Concedere al resto del team l'accesso in Visualizzazione.
• Crea due sottocartelle, una per i contenuti modificabili e una per i contenuti di sola lettura. Se necessario, aggiungi una terza sottocartella per i contenuti privati.
• Nella sottocartella per i contenuti modificabili, concedi l'accesso Gestisci accesso, Modifica all'intero team Finanza utilizzando un gruppo Finanza. Quando il gruppo Finance (Finanza) disporrà di quel livello di accesso, tutti i suoi membri potranno aggiungere, eliminare o modificare contenuti in quella sottocartella.
• Nella sottocartella per i contenuti di sola lettura, concedi l'accesso Visualizzazione all'intero gruppo Finanza. Il CFO avrà comunque l'accesso Gestisci accesso, modifica dei contenuti della cartella perché lo eredita dalla cartella Finanza principale.
• Nella sottocartella privata (facoltativa), rimuovi del tutto il gruppo Finance (Finanza). Solo il CFO può vedere questa cartella o gestirne i contenuti.

Configura i gruppi per un accesso granulare

Se intendi limitare l'accesso ai contenuti, i gruppi Looker ti saranno di grande aiuto. Ai gruppi è possibile concedere l'accesso alle cartelle e alle sottocartelle così come accade per gli utenti; inoltre, i gruppi possono contenere altri gruppi. Per informazioni su come configurare i gruppi, vedi la pagina Gruppi.

Prima di tutto, imposta l'accesso per le singole sottocartelle, poi passa ai livelli superiori per impostare l'accesso per l'intera cartella Shared (Condivisa). Dato che l'accesso viene ereditato dai livelli inferiori della gerarchia di cartelle, è più sicuro iniziare modificando l'accesso alle singole sottocartelle di livello più basso. Quindi puoi passare alle cartelle di livello padre, concedendo loro il livello di accesso che vuoi e assicurandoti che le modifiche non siano in conflitto con le decisioni che hai preso ai livelli inferiori.

In questo esempio inizieremo dalle sottocartelle della cartella Shared (Condivisa). Queste impostazioni possono essere gestite dalla sezione Content Access (Accesso ai contenuti) del riquadro Admin (Amministrazione):

1. Imposta ogni cartella all'interno della cartella Shared (Condivisa) su A custom list of users (Un elenco personalizzato di utenti).

2. Assegna l'accesso Gestisci accesso, Modifica agli utenti e ai gruppi a cui vuoi consentire di modificare i contenuti.

3. Assegna l'accesso in Visualizzazione agli utenti e ai gruppi per cui vuoi disporre di accesso di sola lettura.

Fino a quando non modifichi le impostazioni per la cartella Shared (Condivisa) di primo livello, non viene applicato nulla. Il livello di accesso per il gruppo All Users (Tutti gli utenti) è impostato su Manage Access, Edit (Gestione accesso, modifica) nella cartella Shared (Condivisa) e viene ereditato da tutte le sottocartelle. Non è possibile modificare le impostazioni per Tutti gli utenti nelle singole sottocartelle finché non si modifica il livello di accesso per quel gruppo nella cartella Condivisi.

Fai clic sulla cartella che vuoi configurare, quindi fai clic su Gestisci accesso.

Cambiare l'accesso del gruppo Tutti gli utenti in Visualizza nella cartella Shared (Condivisa)

Questo è il momento in cui le modifiche vengono applicate. Ricordati di consultare il piano per la struttura.

Innanzitutto, a meno che tu non voglia che tutti abbiano accesso a tutti i contenuti nel sistema, fai clic su Gestisci accesso per la cartella Condivisi e modifica Tutti gli utenti da Gestisci accesso, Modifica a Visualizza.

Successivamente, se il tuo piano prevede che alcune sottocartelle siano visibili solo per alcuni gruppi, passa alla sezione che segue.

Rimuovi il gruppo All Users (Tutti gli utenti) dalle cartelle che non devono essere visibili

Per rendere privata una cartella per un determinato sottogruppo di utenti, rimuovi completamente All Users (Tutti gli utenti) utilizzando la X a destra del livello di accesso della cartella. Ora la cartella verrà visualizzata solo per gli utenti e i gruppi che elenchi esplicitamente.

Configurazione di un sistema chiuso

Attiva l'opzione Closed System (Sistema chiuso) solo se prevedi di creare etichette private con Looker o se utilizzi l'incorporamento SSO per i tuoi clienti. I casi d'uso interni devono utilizzare un sistema diverso. Per configurare completamente il sistema, devi essere un amministratore di Looker nel modo descritto di seguito.

Looker offre un'opzione di sistema chiuso che apporta le seguenti modifiche:

• Rimuove il gruppo All Users (Tutti gli utenti). Non sarà possibile in alcun modo fare riferimento a tutti gli utenti nel sistema come gruppo. Gli amministratori di Looker, invece, devono creare un gruppo per tenant, o per cliente, come illustrato in precedenza. In questo contesto, supponiamo che ogni cliente sia un'azienda.
• Rende private tutte le cartelle utente per impostazione predefinita. Gli utenti possono comunque scegliere di condividere i contenuti presenti nelle loro cartelle con altri membri dei gruppi di cui fanno parte.

• Impedisce agli utenti di vedere gli altri utenti, a meno che non condividano un gruppo. Quindi, se un utente fa parte del gruppo Company C (Azienda C), vedrà solo gli altri membri di quell'azienda, ma non i membri delle aziende A e B.

  Le autorizzazioni see_queries, see_schedules e see_users forniscono tutte l'accesso a un pannello Amministratore e sostituiscono l'opzione Sistema chiuso. Quindi, se un utente dispone di una o più autorizzazioni see_queries, see_schedules o see_users, potrà visualizzare i membri delle aziende A, B e C nel riquadro Amministratore associato.

  La home page: contenuti visualizzati di recente è un esempio di luogo in Looker in cui l'utente vedrà solo gli altri membri dell'azienda C e i suoi contenuti.

Questi passaggi ti aiuteranno a configurare un sistema chiuso:

1. Chiedere che venga abilitata l'opzione Sistema chiuso.
2. Pianificare la struttura.
3. Configurare i gruppi per un accesso granulare.
4. Attiva il sistema chiuso nel riquadro Amministrazione.
5. Assegna a ogni gruppo aziendale nel sistema l'accesso Visualizza per la cartella Shared (Condivisa).
6. Configura i livelli di accesso per ogni sottocartella delle cartelle Shared (Condivisa).
7. Eseguire la migrazione dei contenuti in sottocartelle.

Questi passaggi suppongono che nelle cartelle Shared (Condivisa) non siano attualmente ospitati contenuti per gli utenti multitenant. Per isolare i contenuti in un sistema chiuso e impedire ai clienti e ad altri gruppi di vedersi tra loro, sposta tutti questi contenuti dalla cartella Shared (Condivisa) in sottocartelle separate prima di iniziare i passaggi seguenti.

Chiedere che venga abilitata l'opzione Closed System (Sistema chiuso)

Per richiedere l'abilitazione dell'opzione Sistema chiuso per la tua istanza, contatta un esperto delle vendite di Google Cloud o apri una richiesta di assistenza.

Pianificare la struttura

Semplifica di molto la configurazione del sistema se hai già configurato il piano in anticipo. Ci sono due aspetti principali da considerare:

Innanzitutto, assicurati di creare un gruppo per ciascuna azienda. Un gruppo aziendale associa tutti gli utenti di ogni azienda e li tiene separati dalle altre aziende.

In secondo luogo, decidi se consentire che più aziende visualizzino la stessa cartella (ad esempio per le dashboard che interessano tutte le aziende) oppure se preferisci avere una cartella di primo livello per ogni azienda (per contenuti specifici che interessano una sola azienda).

Configura i gruppi per un accesso granulare

Per ogni azienda ci deve essere almeno un gruppo, ma all'interno di quel gruppo possono esserci anche sottogruppi. Se vuoi consentire ad alcuni utenti di un'azienda di modificare e gestire contenuti, mentre altri possono visualizzare solo i contenuti, puoi creare sottogruppi separati per i diversi tipi di utenti. Ad esempio, per iniziare puoi creare Gruppo A come gruppo principale e quindi aggiungere due sottogruppi: Editor azienda A e Visualizzatori azienda A.

Tutti i gruppi che fanno riferimento a una singola azienda devono essere riuniti in un unico gruppo.

Per informazioni su come configurare i gruppi, consulta la pagina della documentazione relativa ai Gruppi.

Attivare l'opzione Closed System (Sistema chiuso) nel riquadro Admin (Amministrazione)

Ti consigliamo di attivare l'opzione Sistema chiuso prima di configurare qualsiasi controllo di accesso sulle cartelle, dato che l'attivazione dell'opzione Sistema chiuso apporta modifiche al sistema (vedi l'introduzione alla configurazione di un sistema chiuso in questa pagina). Questa opzione si trova nella sezione Settings (Impostazioni) del riquadro General (Generale) nella sezione Admin (Amministrazione) di Looker.

Assegnare a ciascun gruppo aziendale l'accesso View (Visualizzazione) per la cartella Shared (Condivisa)

Concedere l'accesso Visualizza a ogni gruppo aziendale per le cartelle condivise. In questo modo, tutti i membri di quei gruppi potranno accedere alla cartella Shared (Condivisa) e vedere la cartella della propria azienda al suo interno. Se un gruppo non dispone dell'accesso Visualizza alle cartelle condivise, non potrà visualizzare le cartelle della propria azienda. Queste impostazioni possono essere gestite dalla sezione Content Access (Accesso ai contenuti) del riquadro Admin (Amministrazione).

Configurare i livelli di accesso per ogni sottocartella

Imposta i livelli di accesso per stabilire chi può visualizzare o modificare i contenuti in ogni sottocartella. Per impostazione predefinita, le sottocartelle utilizzano le impostazioni di accesso delle cartelle padre finché non le modifichi. Questo significa che un'azienda con l'accesso di tipo Visualizzazione alla cartella Shared (Condivisa) potrebbe vedere i contenuti in una sottocartella di un'altra azienda, a meno che non limiti l'accesso a quella sottocartella. Esamina le singole sottocartelle e limita l'accesso in modo appropriato.

Eseguire la migrazione di contenuti in sottocartelle

Se la tua azienda ha consentito agli utenti di vedere altre cartelle personali oltre alla propria, ti consigliamo di eseguire la migrazione dei contenuti di quelle cartelle personali nelle cartelle appropriate nella gerarchia Shared (Condivisa) principale.