不同级别的内容访问权限级别决定了哪些用户可以在 Looker 文件夹中查看和修改内容。然而,权限是根据用户角色与用户关联的,内容访问权限
文件夹访问权限类型
对于任何给定文件夹,可分别为每个 Looker 用户或群组分配以下两种访问权限级别中的一种:
查看:通过此访问权限级别,用户可以查看文件夹的存在,可以查看其中的样式和信息中心,还可以复制文件夹中的样式和信息中心。
管理访问权限、修改:有了此访问权限级别,用户不仅可以执行视图访问权限级别所执行的操作,还可以对文件夹进行更改,例如:
如需查看有关内容访问权限和权限的其他讨论,请参阅控制用户内容访问权限和内容访问权限和权限如何互动。
开放和关闭文件夹访问系统
Looker 的设置将帮助您根据贵公司的政策以及将与您的文件夹互动的用户类型来构建用户访问权限。一般来说,您所设计的系统可以分为三大类:完全开放、有限制开放或已封闭。
| 文件夹访问权限 | 说明 | 推荐用途 |
|---|---|---|
| 完全营业 | 所有用户都可以查看和修改所有共享的内容。这是 Looker 的默认配置。 | 对于使用 Looker 的小型公司或团队、对数据采用开放政策的公司以及将可修改报告作为主要用例的公司,我们都建议采用开放式系统。 |
| 有限制地打开 | 对共享内容的访问在某种程度上会受到限制,这样一来,只有某些用户可以编辑某些内容,或者某些内容会对某些人完全不可见。 | 建议建立一个具有中等规模的团队和公司,但该部门较为多元化;用户群多样化、报告并非与所有人相关,或者公司希望所有人都能看到内容,但只有少数人可以修改。 |
| 已关闭 | 也称作多租户安装,该系统孤立某些组的内容,避免不同组中的用户相互了解。 | 为保护客户的隐私信息,我们强烈建议对私密标签和单点登录嵌入用例使用一个封闭式系统,在用例中,客户将来自不同公司或群组且彼此不认识的客户托管到系统中。 |
确定要使用的系统类型后,此页面会引导您完成配置该系统的步骤。在进行初始设置时,我们建议使用管理面板的内容访问权限部分,因为您可以在此页面上更改每个文件夹。
访问文件夹对其子文件夹的影响
在决定系统如何打开或关闭系统之前,请务必先了解您在父级文件夹中设置的访问权限级别将如何影响其子文件夹,以及您可以在层次结构中的较低级别更改和更改哪些内容。
| 访问类型 | 继承模式 | 说明 |
|---|---|---|
| 管理访问权限、修改 | 一直向下流经文件夹层次结构 | 向用户授予对文件夹的管理访问权限、修改权限后,该用户将拥有对该文件夹中的所有 Looks、信息中心和子文件夹的访问权限级别。您无法锁定文件夹层次结构中较低层级的访问权限。 |
| 查看 | 可以在文件夹层次结构中任意时间点移除 | 移除文件夹级别的查看权限会撤消用户查看该文件夹及其所有内容的权限。您也可以移除层次结构中较低层级的查看权限,以限制用户查看在其他具有查看权限的文件夹中的特定样式、信息中心或子文件夹。 |
Looker 管理员拥有对所有文件夹的管理访问权限、修改权限,因此对所有内容拥有访问权限。这样可以确保他们能够管理系统、防止出现孤立内容,以及帮助遇到任何问题的用户。
配置完全开放的系统
Looker 的默认配置允许对所有文件夹完全开放。“所有用户”群组会分配至“共享文件夹”的管理访问权限、修改,而“共享文件夹”中的所有子文件夹都将继承继承而来。您可以在管理面板的内容访问权限部分管理此设置。
用户拥有对某个文件夹的管理访问权限、修改权限后,还将拥有该文件夹中的所有内容(包括其中的所有子文件夹)的管理访问权限、修改权限。换言之,该系统的内容访问不会受到限制。
个人文件夹位于单独的层次结构中,还有默认设置。在所有个人文件夹中,所有用户群组会设为查看。如果用户希望将私人文件夹设为私人文件夹,可以选择将此群组从其个人文件夹中移除。
配置有限制的开放系统
您必须是 Looker 管理员,才能按照此处描述的方式完全配置您的系统。
以下步骤可帮助您配置存在限制的开放系统:
规划您的结构
您想允许谁查看和修改特定文件夹?如果在开始配置访问权限之前草拟您的方案,您的生活会更轻松。这也让您在完成整个流程时可以查讫更改,因此无需返回查看各个文件夹。将用户归入群组有助于您管理公司内不同部门或团队的访问权限。
最常见的配置之一是为每个部门或团队创建一个文件夹,如下所示:
- 在共享文件夹中,为某个部门、团队或项目创建一个文件夹。在本部分中,我们将使用财务团队的示例。
- 向首席财务官(或财务部门的主要分析师)授予该文件夹的管理访问权限、修改权限。向团队其他成员授予查看权限。
- 创建两个子文件夹:一个用于保存可编辑的内容,另一个用于添加只读内容。如有需要,请为私有内容添加第三个子文件夹。
- 在可编辑内容的子文件夹中,使用财务团队向整个财务团队授予管理访问权限、修改权限。向财务组授予该访问权限级别后,该成员的所有成员都可以在该子文件夹中添加、删除或更改内容。
- 在只读内容的子文件夹中,向整个财务群组授予查看权限。该 CFO 仍可管理访问权限、修改此文件夹中的内容,因为他们继承了财务主文件夹的访问权限。
- 在(可选)不公开的子文件夹中,完全移除“财务”群组。只有 CFO 可以查看此文件夹或管理其内容。
配置群组以提供精细的访问权限
如果您打算限制对内容的访问权限,Looker 群组会让您更容易。群组可以像用户一样被授予对文件夹和子文件夹的访问权限,并且群组还可以包含其他群组。如需了解如何配置群组,请参阅“群组”页面。
首先设置对各个子文件夹的访问权限,然后再逐步设置对整个共享文件夹的访问权限。由于访问权限会向下流动到文件夹层次结构中,因此最安全的做法是单独处理对最低子文件夹的访问权限。然后,您可以在上级文件夹中移动,向其授予所需的访问权限级别,并确保您所做的更改不会与较低级别的决策冲突。
在本示例中,我们将从共享文件夹内的子文件夹着手。您可以在管理面板的内容访问权限部分管理这些设置:
- 将共享文件夹中的各个文件夹设为自定义的用户列表。
为您希望能够编辑内容的用户和群组分配管理访问权限、修改权限。
为您希望拥有只读权限的用户和群组分配查看权限。
除非您更改顶级共享文件夹的设置,否则系统不会生效。在“所有用户”群组中,所有用户群组的访问权限级别会设置为管理访问权限、修改,并且会向下流经所有子文件夹。您无法修改个别子文件夹中所有用户的设置,除非相应群组在访问权限级别中的访问权限级别发生变化。
点击您要配置的文件夹,然后点击管理访问权限。
将“所有用户”群组的访问权限更改为“共享文件夹”中的查看
此时,您所做的更改生效。请务必参阅您的结构规划。
首先,除非您希望所有人都可以对您系统中的所有内容进行编辑,否则请点击共享文件夹对应的管理访问权限,然后将所有用户从管理访问权限、修改改为查看。
然后,如果您打算仅向某些群组显示某些子文件夹,请继续前往下一部分。
从您不想看到的文件夹中移除所有用户群组
如要将某个文件夹设为仅允许某个子组的用户访问,请使用文件夹访问权限级别右侧的 X 将所有用户从该文件夹中移除。现在,该文件夹只会向您明确列出的用户和群组显示。
配置闭合系统
只有当您打算为客户使用私有标签 Looker 或使用单点登录时,才启用封闭式系统选项。内部用例应使用不同的系统。您必须是 Looker 管理员,才能按照下述方式完全配置您的系统。
Looker 提供了一个封闭式系统选项,供您执行以下更改:
- 移除所有用户组。您无法将系统中的所有用户称为一个群组。相反,Looker 管理员应为每个租户或客户创建一个群组,如下所述。在本次讨论中,我们将假设每位客户都是一家公司。
- 将所有用户文件夹默认设为不公开。用户仍然可以选择与群组成员的其他成员共享其文件夹中的内容。
禁止用户查看其他用户(除非他们是同一群组)。因此,如果用户是公司 C 群组的成员,则只会看到公司 C 的其他成员,看不到公司 A 和公司 B 的成员。
see_queries、see_schedules和see_users权限均提供对管理员面板的访问权限,并覆盖已关闭系统选项。因此,如果某位用户拥有一项或多项see_queries、see_schedules或see_users权限,则可在关联的管理员面板中看到公司 A、B 和 C 的成员。
以下步骤可帮助您配置闭合系统:
- 请求提供封闭式系统选项。
- 规划您的结构。
- 配置群组以提供精细的访问权限。
- 在管理面板中启用已关闭的系统。
- 向系统中的每个公司组授予共享文件夹的查看权限。
- 为共享文件夹的每个子文件夹配置访问权限级别。
- 将内容迁移到子文件夹。
以下步骤假定共享文件夹中目前没有任何多租户用户的内容。如要将内容隔离到一个封闭系统之下,从而避免客户或其他群组相互看到,可以将这些内容从共享文件夹移至单独的子文件夹,然后再开始执行以下步骤。
请求“封闭式系统”选项
如需为您的实例启用封闭式系统选项,请与 Google Cloud 销售专员联系或打开支持请求。
规划您的结构
如果您事先已设置方案,则可以更轻松地设置系统。您需要考虑两个主要方面:
首先,请务必为每家公司创建一个群组。公司群组可将各家公司的所有用户关联起来,并将这些用户与其他公司区分开来。
其次,您应考虑希望让多个公司查看同一文件夹(例如,与所有公司相关的信息中心),还是想为每家公司都使用一个顶级文件夹(用于适用于同一家公司的独特内容)。
配置群组以提供精细的访问权限
虽然每家公司应该至少有一个群组,但大型群组内可能还有一些子群组。如果您希望允许公司中的某些用户编辑和管理内容,同时允许其他人查看内容,则可以为不同类型的用户创建单独的子群组。例如,您可以先创建公司 A 作为伞形群组,然后添加两个子群组:公司 A 的编辑者和公司 A 的查看者。
一个公司应属于一个公司。
如需了解如何配置群组,请参阅群组文档页面。
在管理面板中启用“封闭式系统”选项
最好先启用封闭式系统选项,然后再设置文件夹的任何访问权限控制,因为启用封闭式系统选项会更改系统(请参见此页面上的配置封闭式系统简介)。此选项位于 Looker 管理部分中常规面板的设置部分。
向每个公司组授予共享文件夹的查看权限
向每个公司组授予共享文件夹的查看权限。这样,这些群组的成员就可以访问共享文件夹,并查看其中的文件夹。如果群组没有对共享文件夹的查看权限,则无法查看自己公司的文件夹。您可以在管理面板的内容访问权限部分管理这些设置。
为每个子文件夹配置访问权限级别
设置访问权限级别,指定哪些人可以查看或编辑每个子文件夹中的内容。子文件夹默认采用其父级的访问权限设置,直到您做出更改。这意味着,对共享文件夹拥有“查看”权限的公司可以查看其他子文件夹中的内容,除非您限制对该子文件夹的访问权限。查看每个子文件夹,并适当限制访问权限。
将内容迁移到子文件夹
如果贵公司允许用户查看其自己的文件夹和其他个人文件夹,我们建议将这些个人文件夹中的任何内容迁移到主共享文件夹中的相应文件夹。