Diferentes níveis de acesso ao conteúdo determinam quais usuários podem ver e editar conteúdo nas pastas do Looker. Enquanto as permissões são associadas a um usuário de acordo com a função dele, o acesso ao conteúdo é associado a uma pasta e define o nível de abertura dela para usuários em vários níveis.
Tipos de acesso às pastas
É possível atribuir um dos dois níveis de acesso a cada usuário ou grupo do Looker para qualquer pasta:
Visualizar: com este nível de acesso, o usuário pode ver que a pasta existe, visualizar as aparências e os painéis dentro dela e copiar as aparências e os painéis da pasta.
Gerenciar acesso, Editar: este nível de acesso permite que um usuário faça tudo o que o nível de acesso Visualizar faz e faz alterações na pasta, como:
Para ver mais informações sobre acesso e permissões ao conteúdo, consulte Como controlar o acesso ao conteúdo do usuário e Como o acesso ao conteúdo e as permissões interagem.
Sistemas de acesso a pastas abertas e fechadas
As configurações do Looker ajudam você a estruturar o acesso com base nas políticas da sua empresa e nos tipos de usuário que vão interagir com suas pastas. Em geral, o sistema que você criar se enquadra em uma destas três categorias amplas: completamente aberto, aberto com restrições ou fechado.
Nível de acesso às pastas | Descrição | Uso recomendado |
---|---|---|
Completamente aberto | Todos os usuários podem visualizar e modificar todo o conteúdo compartilhado. Essa é a configuração padrão do Looker. | Recomendamos um sistema aberto para pequenas empresas ou equipes que usam o Looker, empresas com políticas abertas sobre dados e empresas em que o compartilhamento de relatórios editáveis é um caso de uso principal. |
Abrir com restrições | O acesso ao conteúdo compartilhado é restrito de alguma forma para que apenas algumas pessoas possam editar determinado conteúdo ou parte dele fique totalmente invisível para determinadas pessoas. | Recomenda-se um sistema aberto com restrições para equipes e empresas de médio ou grande porte, bases de usuários altamente diversificadas em que os relatórios não sejam relevantes para todos ou empresas que desejam que o conteúdo seja visível para todos, mas que possa ser editado por apenas alguns. |
Fechado | Também chamado de instalação multilocatária, esse sistema separa o conteúdo de determinados grupos e impede que os usuários de grupos diferentes se conheçam. | Para proteger as informações particulares dos seus clientes, recomendamos o uso de um sistema fechado de casos de uso de etiqueta particular e incorporação de SSO em que os clientes hospedem clientes no sistema que podem ser de diferentes empresas ou grupos e que não devem conhecer uns aos outros. |
Depois de determinar o tipo de sistema desejado, esta página mostrará as etapas para configurá-lo. Para a configuração inicial, recomendamos usar a seção Acesso ao conteúdo do painel Administrador, já que é um único local para fazer alterações em cada pasta.
Como o acesso a uma pasta afeta as subpastas
Antes de decidir se o sistema será aberto ou fechado, é importante entender como os níveis de acesso definidos nas pastas mãe afetarão as subpastas, bem como o que você pode e não pode alterar nos níveis mais baixos da hierarquia.
Tipo de acesso | Padrão de herança | Descrição |
---|---|---|
Gerenciar acesso, editar | Fluxo para baixo na hierarquia de pastas | Depois que você conceder a um usuário acesso a Gerenciar o acesso, editar em uma pasta, ele terá esse nível de acesso a todas as aparências, painéis e subpastas nessa pasta. Não será possível bloquear o acesso do usuário em uma parte inferior da hierarquia de pastas. |
Exibir | Pode ser removido a qualquer momento pela hierarquia de pastas | A remoção do acesso Ver no nível da pasta revoga a capacidade de um usuário ver essa pasta e todo o seu conteúdo. Você também pode remover o acesso Visualizar em qualquer ponto na hierarquia para impedir que os usuários visualizem aparências, painéis ou subpastas específicos em uma pasta que pode ser visualizada. |
Os administradores do Looker têm acesso de gerenciamento de edição e acesso a todas as pastas e, portanto, a todo o conteúdo. Isso garante a capacidade deles de gerenciar o sistema, evitar conteúdo órfão e ajudar os usuários que enfrentam problemas.
Como configurar um sistema completamente aberto
A configuração padrão do Looker permite acesso total a todas as pastas. O grupo Todos os usuários será atribuído a Gerenciar acesso, Editar na pasta "Compartilhado", e todas as subpastas na pasta "Compartilhado" herdarão esse acesso. Gerencie essa configuração na seção Acesso ao conteúdo do painel Administrador.
Quando um usuário tiver o acesso Gerenciar acesso, Editar a uma pasta, ele também terá acesso Gerenciar o acesso, Editar a todo o conteúdo nessa pasta, incluindo todas as subpastas. Isso significa que não há restrições de acesso ao conteúdo nesse sistema.
As pastas pessoais existem em uma hierarquia separada e também têm configurações padrão. O grupo Todos os usuários está definido como Visualizar em todas as pastas pessoais. Cada usuário pode optar por remover esse grupo de sua pasta pessoal se desejar que a pasta pessoal seja particular.
Como configurar um sistema aberto com restrições
Você precisa ser um administrador do Looker para configurar seu sistema da maneira descrita aqui.
Estas etapas ajudarão você a configurar um sistema aberto com restrições:
- Planeje sua estrutura.
- Configure grupos para fornecer acesso granular.
- Altere o acesso do grupo Todos os usuários a Visualizar na pasta "Compartilhados".
- Remova Todos os usuários das pastas que você não quer que sejam visíveis para toda a empresa.
Planeje sua estrutura
Quem você deseja permitir para visualizar e editar pastas específicas? Isso facilitará sua vida se você fizer o esboço do plano antes de começar a configurar o acesso. Isso também oferece um lugar para você verificar as alterações ao longo do processo, de modo que não precise voltar para verificar várias pastas. A divisão de usuários em grupos ajuda a gerenciar o acesso de diferentes departamentos ou equipes na sua empresa.
Uma das configurações mais comuns é ter uma pasta por departamento ou equipe, que é mais ou menos assim:
- Na pasta compartilhada, crie uma pasta para um departamento, equipe ou projeto. Usaremos o exemplo de uma equipe financeira nesta seção.
- Conceda ao CFO (ou principal analista de finanças) o acesso Gerenciar acesso, Editar nessa pasta. Conceda acesso de visualização ao restante da equipe.
- Crie duas subpastas: uma para conteúdo editável e outra para conteúdo somente leitura. Se necessário, adicione uma terceira subpasta ao conteúdo privado.
- Na subpasta de conteúdo editável, conceda acesso de Gerenciar acesso, Editar a toda a equipe financeira usando um grupo financeiro. Depois que você conceder ao grupo Finanças esse nível de acesso, todos os membros poderão adicionar, excluir ou alterar o conteúdo na subpasta.
- Na subpasta do conteúdo somente leitura, conceda acesso de visualização a todo o grupo Financeiro. O diretor financeiro ainda pode gerenciar o acesso, editar o conteúdo dessa pasta, porque ele herda esse acesso da pasta principal "Finanças".
- Na subpasta privada (opcional), remova o grupo Financeiro por completo. Apenas o diretor financeiro pode ver esta pasta ou gerenciar seu conteúdo.
Configurar grupos para fornecer acesso granular
Se você pretende restringir o acesso ao conteúdo, os grupos do Looker facilitam sua vida. Os grupos podem receber acesso a pastas e subpastas da mesma forma que os usuários, e os grupos podem conter outros grupos. Para informações sobre como configurar grupos, consulte a página Grupos.
Primeiro, defina o acesso a subpastas individuais e depois defina o acesso a toda a pasta "Compartilhados". Como o acesso flui para baixo na hierarquia de pastas, é mais seguro começar manipulando o acesso às subpastas mais baixas individualmente. Em seguida, você pode mover para cima por meio de pastas no nível pai, fornecendo a elas o nível de acesso desejado e garantindo que suas alterações não entrem em conflito com decisões tomadas nos níveis inferiores.
Neste exemplo, começaremos com as subpastas dentro da pasta Compartilhado. Gerencie essas configurações na seção Acesso ao conteúdo do painel Administrador:
- Defina cada pasta dentro da pasta compartilhada como Uma lista personalizada de usuários.
Atribua o acesso Gerenciar acesso, Editar aos usuários e grupos para os quais você deseja editar o conteúdo.
Atribua o acesso Visualização aos usuários e grupos aos quais você deseja ter acesso somente leitura.
Até que você altere as configurações da pasta compartilhada de nível superior, nada entrará em vigor. O nível de acesso do grupo Todos os usuários está definido como Gerenciar acesso, Editar na pasta "Compartilhados" e flui para todas as subpastas. Não é possível modificar as configurações de Todos os usuários em subpastas individuais até que o nível de acesso desse grupo seja alterado na pasta "Compartilhados".
Clique na pasta que você quer configurar e em Gerenciar acesso.
Altere o acesso do grupo Todos os usuários a Visualizar na pasta "Compartilhado".
É nesse momento que as alterações entram em vigor. Lembre-se de consultar o plano da sua estrutura.
Primeiro, a menos que você queira que todos tenham acesso de edição a todo o conteúdo no sistema, clique em Gerenciar acesso para a pasta compartilhada e altere Todos os usuários de Gerenciar acesso, Editar para Visualizar.
Em seguida, se o plano for exibir determinadas subpastas apenas para determinados grupos, siga para a seção a seguir.
Remova o grupo Todos os usuários das pastas que você não deseja visualizar.
Para tornar uma pasta privada para um determinado subgrupo de usuários, remova All Users completamente dessa pasta usando o X
à direita do nível de acesso da pasta. Agora a pasta será exibida apenas para os usuários e grupos que você listar explicitamente.
Como configurar um sistema fechado
Ative a opção Sistema fechado apenas se você planeja usar o Looker como rótulo privado ou usar a incorporação de SSO para seus clientes. Casos de uso interno devem usar um sistema diferente. Você precisa ser um administrador do Looker para configurar seu sistema da maneira descrita abaixo.
O Looker oferece uma opção de Sistema fechado que faz as seguintes alterações:
- Remove o grupo All Users. Não será possível fazer referência a todos os usuários no sistema como um grupo. Em vez disso, os administradores do Looker precisam criar um grupo por locatário ou cliente, conforme discutido abaixo. Para esta discussão, vamos supor que cada cliente é uma empresa.
- Torna todas as pastas de usuário privadas por padrão. Os usuários ainda poderão compartilhar conteúdo nas pastas deles com outros membros dos grupos.
Impede que os usuários vejam outros usuários, a menos que compartilhem um grupo. Portanto, se um usuário for um membro do grupo da Empresa C, ele verá apenas outros membros da empresa C, e não os membros das empresas A e B.
As permissões
see_queries
,see_schedules
esee_users
dão acesso a um painel do administrador e substituem a opção Sistema fechado. Portanto, se um usuário tiver uma ou mais permissõessee_queries
,see_schedules
ousee_users
, ele poderá ver os membros das empresas A, B e C no painel Administrador associado.A página inicial: o conteúdo visualizado recentemente é um exemplo de lugar no Looker em que esse usuário só verá outros membros da empresa C e o conteúdo deles.
Estas etapas ajudarão você a configurar um sistema fechado:
- Peça a opção Sistema fechado.
- Planeje sua estrutura.
- Configure grupos para fornecer acesso granular.
- Ative o sistema fechado no painel Admin.
- Conceda a cada grupo da empresa no seu sistema o acesso View para a pasta compartilhada.
- Configure os níveis de acesso de cada subpasta de pastas compartilhadas.
- Migre o conteúdo para subpastas.
Essas etapas pressupõem que nenhum conteúdo para usuários multilocatários esteja hospedado nas pastas compartilhadas. Para separar o conteúdo em um sistema fechado e impedir que clientes ou outros grupos vejam uns aos outros, mova todo o conteúdo da pasta "Compartilhados" para uma subpasta separada antes de iniciar as etapas abaixo.
Solicitar a opção Sistema fechado
Para solicitar que a opção Sistema fechado seja ativada na sua instância, entre em contato com um especialista em vendas do Google Cloud ou abra uma solicitação de suporte.
Planeje sua estrutura
Isso facilita muito a configuração do sistema se você tiver configurado o plano com antecedência. Há duas áreas principais a serem consideradas:
Primeiro, crie um grupo para cada empresa. Um grupo de empresas associa todos os usuários de cada empresa e os mantém separados de outras empresas.
Em segundo lugar, considere se você quer ter várias empresas que estejam olhando para a mesma pasta (por exemplo, para painéis que são relevantes para todas as empresas) ou se você quer uma pasta de nível superior para cada empresa (para conteúdos distintos que se aplicam somente a uma única empresa).
Configurar grupos para fornecer acesso granular
Embora deva existir pelo menos um grupo por empresa, também pode haver subgrupos nesse grupo maior. Se você quiser permitir que alguns usuários de uma empresa editem e gerenciem conteúdo e que outros visualizem apenas conteúdo, crie subgrupos separados para os diferentes tipos de usuário. Por exemplo, você pode criar a Empresa A como o grupo geral e adicionar dois subgrupos: Editores da Empresa A e Leitores na Empresa A.
Todos os grupos pertencentes a uma empresa individual devem estar em um único grupo.
Para informações sobre como configurar grupos, consulte a página de documentação do Grupos.
Ative a opção "Sistema fechado" no painel Administrador.
É melhor ativar a opção Sistema fechado antes de configurar os controles de acesso nas pastas, já que a opção Sistema fechado faz alterações no sistema. Consulte a introdução sobre Como configurar um sistema fechado nesta página. Essa opção está localizada na seção Configurações do painel Geral, na seção Administrador do Looker.
Conceder a cada grupo de empresa acesso para visualizar a pasta compartilhada
Conceda acesso de visualização a cada grupo de empresas para as pastas compartilhadas. Isso permite que os membros desses grupos acessem a pasta "Compartilhados" e vejam a pasta da própria empresa dentro dela. Se um grupo não tiver acesso de visualização às pastas compartilhadas, ele não verá as pastas da empresa dele. Gerencie essas configurações na seção Acesso ao conteúdo do painel Administrador.
Configurar níveis de acesso para cada subpasta
Defina os níveis de acesso para estabelecer quem pode ver ou editar o conteúdo em cada subpasta. As subpastas assumem como padrão as configurações de acesso dos pais até que você as altere. Isso significa que uma empresa com acesso de visualização à pasta compartilhada pode ver o conteúdo na subpasta de outra empresa, a menos que você restrinja o acesso a essa subpasta. Analise cada subpasta e restrinja o acesso adequadamente.
Migrar conteúdo para subpastas
Se sua empresa permitiu que os usuários vissem suas próprias pastas e outras pastas pessoais, recomendamos migrar qualquer conteúdo dessas pastas pessoais para as pastas apropriadas na hierarquia compartilhada principal.