Administratoreinstellungen – Nutzerattribute

Nutzerattribute ermöglichen individuelle Looker-Nutzer. Ein Looker-Administrator definiert ein Nutzerattribut und wendet dann einen Nutzerattributwert auf eine Nutzergruppe oder auf einzelne Nutzer an.

Administratoren können auch Nutzerattribute definieren, für die Nutzer Werte wie Passwörter oder Kontaktdaten angeben. An verschiedenen Stellen in Looker können die Nutzerattribute referenziert werden, um jedem Nutzer eine benutzerdefinierte Oberfläche zu bieten.

Looker enthält automatisch einige Nutzerattribute wie email, first_name, landing_page, last_name, full_name, ID, timezone (falls konfiguriert), locale und number_format.

Nutzerattribute aufrufen

Eine Liste der Nutzerattribute finden Sie im Menü Admin im Abschnitt Nutzer auf der Seite Nutzerattribute.

In der Tabelle mit den Nutzerattributen sind Name, Label und Typ der einzelnen Nutzerattribute aufgeführt. Weitere Informationen finden Sie unten. Darüber hinaus enthält die Tabelle eine Schaltfläche für Aktionen, die Sie für das Nutzerattribut ausführen können. Bei einigen Attributen wird anstelle von Schaltflächen für Aktionen „Systemstandard“ angezeigt. Das bedeutet, dass Looker diese Attribute für jeden Nutzer automatisch erstellt. Die Standardnutzerattribute des Systems sind für Looker für die interne Verwendung reserviert und können nicht bearbeitet werden.

Nutzerattribute erstellen

Um ein Nutzerattribut zu definieren, klicken Sie oben links auf die Schaltfläche Nutzerattribut erstellen. Jedes Nutzerattribut hat die folgenden Einstellungen:

  • Name: Der Name des Nutzerattributs für die Verwendung in textbasierten Umgebungen wie LookML. Namen dürfen nur Kleinbuchstaben, Ziffern und Unterstriche enthalten.
  • Label: Die nutzerfreundliche Version des Namens. Standardmäßig ist dies der Name des Attributs. Unterstriche werden durch Leerzeichen ersetzt und jedes Wort wird großgeschrieben. Das Label kann jedoch geändert werden.

  • Datentyp: Mit dieser Einstellung wird geprüft, ob Nutzern für dieses Nutzerattribut gültige Werte zugewiesen werden. Es gibt folgende Datentypen für das Nutzerattribut:

    • String: Wählen Sie diese Option aus, um ein Nutzerattribut zu erstellen, das genau mit einem Stringwert übereinstimmt, z. B. einen Nutzernamen. Wenn Sie mehrere Stringwerte oder einen Looker-Filterausdruck im Nutzerattributwert verwenden möchten, wählen Sie stattdessen die Option Stringfilter (erweitert) aus.
    • Nummer: Wählen Sie diese Option aus, um eine einzelne Nummer anzugeben, z. B. eine Mitarbeiternummer. Wenn Sie einen Zahlenbereich oder einen Looker-Filterausdruck verwenden möchten, verwenden Sie stattdessen den Zahlenfilter (erweitert).
    • Datum/Uhrzeit: Wählen Sie diese Option aus, um ein einzelnes Datum oder eine einzelne Uhrzeit anzugeben, z. B. das Geburtsdatum des Nutzers. Wenn Sie einen Zeitraum oder einen Looker-Filterausdruck verwenden möchten, verwenden Sie stattdessen den Datum/Uhrzeit-Filter (erweitert).
    • Stringfilter (erweitert): Wählen Sie diese Option aus, um mehrere Stringwerte oder einen Looker-Filterausdruck im Nutzerattribut zuzulassen. Die Seite Filterausdrücke enthält eine Liste der Filterausdrücke, die Sie für Strings verwenden können.
    • Zahlenfilter (erweitert): Wählen Sie diese Option aus, um einen Bereich numerischer Werte oder einen Looker-Filterausdruck im Nutzerattribut zuzulassen. Die Seite Filterausdrücke enthält eine Liste der Filterausdrücke, die Sie für Zahlen verwenden können.
    • Datum/Uhrzeit-Filter (erweitert): Wählen Sie diese Option aus, um einen Zeitraum oder einen Looker-Filterausdruck im Nutzerattribut zuzulassen. Die Seite Filterausdrücke enthält eine Liste der Filterausdrücke, die Sie für Datum und Uhrzeit verwenden können.

    Verwenden Sie die Datentypen Stringfilter (erweitert), Zahlenfilter (erweitert) und Datum/Uhrzeit (erweitert), um Werte mit Looker-Filterausdrücken einzugeben. Dadurch werden mehrere Werte für ein Nutzerattribut zurückgegeben.

  • Nutzerzugriff: Sie können die Sichtbarkeit und die Bearbeitungsmöglichkeiten für Nutzer festlegen.

    • Keine: Die Option wird nicht auf den Kontoseiten der Nutzer angezeigt.
    • Anzeigen: Die Anzeigen werden auf den Kontoseiten der Nutzer angezeigt, können aber nicht bearbeitet werden.
    • Bearbeiten: Diese Option ist auf den Kontoseiten der Nutzer zu sehen und kann vom Nutzer festgelegt werden.

  • Werte ausblenden: Wenn Sie diese Option auf Yes setzen, werden die Nutzerattributwerte maskiert, auch wenn Nutzerattribute für Nutzer sichtbar sind. Das ist für Passwörter oder andere vertrauliche Informationen nützlich. Wenn Sie diesen Wert auf Yes setzen, wird der Wert für das Nutzerattribut auch in den Drop-down-Menüs zum Nutzerattribut auf der Seite Verbindungseinstellungen maskiert. Wurde dieser Wert auf Yes gesetzt, kann er nie wieder in No geändert werden. Wenn Sie Values auf Yes setzen, müssen Sie auch eine Zulassungsliste an Domains angeben, die als Ziel für das Nutzerattribut zulässig sind.

  • Zulassungsliste für Domains: Wenn Sie die Werte für ein neues Nutzerattribut ausblenden, müssen Sie auch eine Zulassungsliste für Domains angeben, die aus den URLs besteht, an die das Attribut gesendet werden kann, z. B. Hostnamen für Datenbankverbindungen und URLs für Git-Projektintegrationen. Mit dem Platzhalter (*) können Sie die Auslieferung auf mehreren Seiten derselben Website ermöglichen. Wenn Sie eine Zulassungsliste für Domains festgelegt haben, kann das Nutzerattribut nur an die von Ihnen aufgeführten Ziele gesendet werden.

    Wenn Sie eine Zulassungsliste für Domains für dieses Nutzerattribut festgelegt haben und wenn dem Nutzerattribut Werte zugewiesen wurden (für einen Nutzer, für eine Gruppe oder durch das Festlegen eines Standardwerts), können Sie die Zulassungsliste nicht mehr ändern, um die URLs zu reduzieren. Sie können URLs nur stärker einschränken oder URLs von der Zulassungsliste entfernen. Wenn die Domain-Zulassungsliste beispielsweise den Eintrag my_domain/route/* enthält, können Sie diesen später nicht mehr in my_domain/* ändern. Wenn die Zulassungsliste weniger eingeschränkt sein muss, löschen Sie alle vorhandenen Werte, die dem Nutzerattribut zugewiesen sind, einschließlich der Standardwerte.

  • Standardwert festlegen: Klicken Sie das Kästchen an, um einen Standardwert festzulegen, falls einem Nutzer kein Wert zugewiesen wird.

Nachdem Sie ein Nutzerattribut definiert haben, können Sie einzelnen Nutzern oder Nutzergruppen Werte zuweisen. Klicken Sie dazu oben auf der Seite auf die Tabs Nutzerwerte und Gruppenwerte.

Einzelnen Nutzern Werte zuweisen

Nachdem Sie ein Nutzerattribut definiert haben, können Sie einem einzelnen Nutzer einen Wert zuweisen:

  1. Klicken Sie auf den Tab Nutzerwerte.
  2. Wählen Sie im Drop-down-Menü den Nutzer aus, dem Sie einen Wert zuweisen möchten. Dadurch wird eine Tabelle mit Werten angezeigt, die für diesen Nutzer gelten.
  3. Klicken Sie auf die Schaltfläche Wert für Nutzer festlegen.
  4. Geben Sie den neuen Wert in das Feld Neuer Wert ein.
  5. Klicken Sie auf Speichern.

Wenn ein Wert einem einzelnen Nutzer zugewiesen ist, hat dieser Wert immer Vorrang vor allen Werten, die den Gruppen dieses Nutzers zugewiesen sind. Auf dem Tab Nutzerwerte sehen Sie, wenn einem Nutzerattribut ein benutzerdefinierter Wert zugewiesen wurde, der einen Gruppenwert überschreibt. Neben allen überschriebenen Werten wird „Überschrieben“ angezeigt. Diese Werte werden nicht berücksichtigt. Neben dem Wert des aktiven Nutzerattributs wird der Text „Aktueller Wert“ angezeigt.

Wenn Sie einem Nutzerattribut mehrere Werte zuweisen möchten, verwenden Sie den Datentyp Stringfilter (erweitert) und geben Sie mehrere Werte durch Kommas getrennt ein. Zwischen den Werten darf kein Leerzeichen stehen. Sie können beispielsweise den String Executive, Management, Contributors eingeben.

Wenn Sie einem Looker-Administrator oder einem anderen Nutzer alle möglichen Werte zuweisen, verwenden Sie einen Platzhalterwert im Nutzerattribut:

  • Wenn Sie einem Administrator oder einem anderen Nutzer Zugriff auf alle Werte eines Stringfelds gewähren möchten, setzen Sie den Datentyp des Nutzerattributs auf Stringfilter (erweitert) und verwenden Sie den Wert %, NULL.

  • Wenn Sie einem Administrator oder einem anderen Nutzer Zugriff auf alle Werte eines Zahlenfelds gewähren möchten, setzen Sie den Datentyp des Nutzerattributs auf Zahlenfilter (erweitert) und verwenden Sie den Wert <0, >=0, NULL.

Aus Sicherheitsgründen können Platzhalter oder Wertebereiche in Nutzerattributen nicht zusammen mit Zugriffsrechten verwendet werden. Weitere Informationen finden Sie auf der Dokumentationsseite zu access_grant-Parametern.

Nutzern Gruppen Werte zuweisen

Sie können einer Nutzergruppe einen Wert für ein Nutzerattribut zuweisen. Wählen Sie auf der Seite Nutzerattribute im Bereich Verwaltung rechts neben dem Attribut, das Sie festlegen möchten, die Option Bearbeiten aus. Führen Sie dann folgende Schritte aus:

  1. Klicken Sie auf Gruppenwerte.
  2. Klicken Sie auf die Schaltfläche + Gruppe hinzufügen.
  3. Wählen Sie im Drop-down-Menü die Gruppe aus, der Sie einen Wert zuweisen möchten.
  4. Geben Sie in das Feld Wert den Wert für die Gruppe ein.
  5. Klicken Sie auf Speichern.

Wenn ein Wert mehreren Gruppen zugewiesen wird, müssen Sie entscheiden, welche Gruppe Vorrang haben soll, falls ein Nutzer mehreren Gruppen angehört. Ziehen Sie dazu die Gruppen in die gewünschte Reihenfolge. Jede Gruppe hat Vorrang vor den unten aufgeführten Gruppen.

Im vorherigen Beispiel gibt es Gruppen für Führungskräfte und das Managementteam. Führungskräfte sind auch Manager und damit Mitglieder beider Gruppen. Wenn Sie die Gruppe „Führungskräfte“ an den Anfang der Liste ziehen, erhalten ihre Mitglieder statt des Werts Manager den Wert Executive.

Wenn ein Nutzer einen benutzerdefinierten Wert für ein Nutzerattribut festgelegt hat, überschreibt der Wert, den der Nutzer festgelegt hat, jeden Wert, der einer Gruppe zugewiesen wurde, zu der der Nutzer gehört.

Wo können Nutzerattribute verwendet werden?

Nutzerattribute haben folgende Funktionen:

Datenbankverbindungen

Host, Port, Datenbank, Nutzername, Passwort und Schema einer Verbindung können jeweils den Wert eines Nutzerattributs erhalten. Im Feld „Verbindungs-Host“ können keine Nutzerattribute akzeptiert werden, bei denen die Ebene Nutzerzugriff auf Bearbeitbar festgelegt ist.

Mit diesen Nutzerattributen wird die Verbindung speziell für den Nutzer erstellt, der eine Abfrage ausführt. Auf Nutzerattribute kann auch im Feld Zusätzliche JDBC-Parameter verwiesen werden, mit denen der JDBC-Verbindungsstring angepasst wird. Wenn ein Nutzer eine Abfrage über die Verbindung ausführt, werden die ihm zugewiesenen Nutzerattributwerte angewendet, sodass die Verbindung auf Grundlage des Nutzers angepasst werden kann.

Wenn Sie einen oder mehrere Verbindungsparameter auf ein Nutzerattribut festlegen, müssen Sie separate Anmeldedaten für persistente abgeleitete Tabellen (PDT) definieren, um PDTs in Ihrem LookML-Modell zu verwenden. (Eine Ausnahme: Die Einstellung BigQuery Max Billing Gigabyte kann auf ein Nutzerattribut festgelegt werden, ohne dass ein separater PAT-Nutzer erforderlich ist.)

Konfiguration

Jede Verbindung kann in Looker auf der Seite Verbindungen im Abschnitt Verwaltung so konfiguriert werden, dass Nutzerattribute verwendet werden. Informationen zur Seite Verbindungen finden Sie in der Dokumentation zu Administratoreinstellungen – Verbindungen. Klicken Sie auf New Connection (Neue Verbindung), um eine neue Verbindung zu erstellen. Klicken Sie zum Konfigurieren einer vorhandenen Verbindung auf Bearbeiten.

Wenn eine Eingabe auf ein Nutzerattribut festgelegt werden kann, wird in Looker neben der Eingabe die Schaltfläche Nutzerattribut angezeigt.

Klicken Sie auf die Schaltfläche Nutzerattribut, um ein Drop-down-Menü zu öffnen, in dem Sie das gewünschte Nutzerattribut auswählen können. Die Liste enthält den Namen des Nutzerattributs und den Wert des aktuellen Nutzers in Klammern.

Wenn Sie im Feld Zusätzliche JDBC-Parameter ein Nutzerattribut verwenden möchten, verwenden Sie dieselbe Syntax der flüssigen Vorlagen, die in LookML verfügbar ist. Nutzerattribute werden über die Liquid-Variable _user_attributes zur Verfügung gestellt. Wenn Sie beispielsweise auf ein Nutzerattribut mit dem Namen my_jdbc_param_attribute verweisen, verwenden Sie die folgende Syntax:

my_jdbc_param={{ _user_attributes['name_of_attribute'] }}

Anwendungsfall: Anwenden von Berechtigungen auf Datenbankebene in Looker

Wenn Ihre Datenbank unterschiedliche Konten mit verschiedenen Zugriffsbeschränkungen hat, können Sie Ihre Datenbankberechtigungen in Looker nutzen. Parametrisieren Sie den Nutzernamen und das Passwort einer Verbindung, damit jeder Nutzer die entsprechenden Anmeldedaten für seine Datenbankzugriffsebene abrufen kann. So wird sichergestellt, dass Nutzer keine Daten sehen, auf die sie keinen Zugriff haben sollten. Das hat aber keinen Einfluss darauf, welche explorativen Datenanalysen, Dimensionen und Messwerte sie in Looker sehen.

Wenn ein Nutzer beispielsweise mit einer Datenbank eine Verbindung zur Datenbank herstellt, die verhindert, dass er die Spalte credit_card_number in der Tabelle user sieht, wird ihm jede Dimension mit dieser Datenbankspalte in Looker angezeigt. Sie erhalten einfach eine Fehlermeldung von der Datenbank, wenn sie versuchen, eine Abfrage auszuführen, die diese Dimension enthält.

Anwendungsfall: Verwendung eines Modells für mehrere identische Datenbanken

Angenommen, Sie haben mehrere Datenbanken mit genau dem gleichen Schema, etwa wenn die Daten jedes Kunden in einer eigenen Datenbank für Datensicherheitsmaßnahmen wie HIPAA-Compliance gespeichert sind. Oder vielleicht möchten Sie, dass Ihre LookML-Entwickler Abfragen für eine Entwicklungskopie einer Produktionsdatenbank ausführen.

Wenn sich diese Datenbanken auf demselben Datenbankserver befinden, müssen Sie keine separaten Verbindungen und Modelle einrichten. Legen Sie stattdessen die Datenbank einer Verbindung zu einem Nutzerattribut fest. Jeder Nutzer wird auf die Datenbank verwiesen, die im Wert für das Nutzerattribut Database Name angegeben ist.

Bei Verwendung von Nutzerattributen für eine Verbindung werden persistente abgeleitete Tabellen für diese Verbindung deaktiviert.

Datenaktionen

Datenaktionen können so konfiguriert werden, dass bestimmte Nutzerattribute in die JSON-Nutzlast eingeschlossen werden. Hiermit können Sie nutzerspezifische Informationen zusammen mit den Daten senden, z. B. deren Anmeldedaten, um einen Vorgang für einen bestimmten Dienst durchzuführen.

Konfiguration

Wenn Sie ein Nutzerattribut in eine Datenaktion aufnehmen möchten, müssen Sie der Definition mit action einen user_attribute_param-Block hinzufügen. Für jeden Block sind zwei Parameter erforderlich:

  • user_attribute: Der Name des Nutzerattributs
  • name: der Name, der in der JSON-Nutzlast verwendet werden soll

In diesem Beispiel werden die Salesforce-Anmeldedaten der beiden Nutzer in Looker verwendet: salesforce_username und salesforce_password. Wenn ein Nutzer die Datenaktualisierung in Salesforce ausführt, sendet Looker seine Salesforce-Anmeldedaten mit der JSON-Nutzlast, die der empfangende Server bei der Authentifizierung bei Salesforce verwenden kann.

dimension: stage_name {
  type: string
  sql: ${TABLE}.stage_name;;
  action: {
    label: "Update in Salesforce"
    url: "https://example.com/my_salesforce_url"
    user_attribute_param: {
      user_attribute: salesforce_username
      name: "username"
    }
    user_attribute_param: {
      user_attribute: salesforce_password
      name: "password"
    }
    form_param: {
      name: "new_stage_name"
      type: string
      required: yes
    }
  }
}

Benutzerdefinierte Aktionen in einem Aktions-Hub

Sie können eine benutzerdefinierte Aktion so konfigurieren, dass Nutzerattribute einbezogen werden, die verhindern, dass Nutzer Looker-Inhalte an dieses Aktionsziel senden oder planen, wenn kein Wert für dieses Nutzerattribut definiert ist.

Konfiguration

Der params-Parameter in einer benutzerdefinierten Aktion stellt die Formularfelder dar, die ein Looker-Administrator auf der Aktivierungsseite der Aktion aus der Liste Aktionen im Bereich Admin konfigurieren muss. Geben Sie im Parameter params Ihrer Aktionsdatei Folgendes an:

  params = [{

    label: "A label for the param.",
    name: "action_param_name",
    user_attribute_name: "user_attribute_name",
    required: true,
    sensitive: true,
  }]

Dabei ist user_attribute_name das Nutzerattribut, das auf der Seite Nutzerattribute im Abschnitt Nutzer auf der Seite Nutzerattribute im Feld Name des Nutzers definiert ist. required: true bedeutet, dass für das jeweilige Nutzerattribut ein Wert ungleich null und gültig sein muss, damit die Aktion bei der Datenübermittlung angezeigt wird. sensitive: true bedeutet, dass der Nutzerattributwert verschlüsselt ist und nie in der Looker-Benutzeroberfläche angezeigt wird. Sie können mehrere Parameter für Nutzerattribute angeben.

Ein Looker-Administrator muss die Formularfelder der Aktion mit dem Nutzerattribut konfigurieren:

  1. Klicken Sie im Bereich Verwaltung auf der Seite Aktionen neben der Aktion auf die Schaltfläche Aktivieren oder Einstellungen.
  2. Klicken Sie rechts neben dem entsprechenden Feld auf das Nutzerattributsymbol und wählen Sie das gewünschte Attribut aus.

Weitere Informationen finden Sie auf der Seite Daten über einen Aktions-Hub freigeben im Abschnitt Nutzerattribute zu benutzerdefinierten Aktionen hinzufügen.

Filter

Filter für Explorative Datenanalysen, Looks und Dashboards können auf ein Nutzerattribut festgelegt werden, um die Abfrage an den jeweiligen Nutzer anzupassen.

Sie könnten beispielsweise ein Nutzerattribut mit dem Namen salesforce_username erstellen und jeden Looker-Nutzer so konfigurieren, dass sein Wert für ihn der Salesforce-Nutzername ist. Anschließend können Sie in einem Dashboard einen Filter auf das Nutzerattribut salesforce_username festlegen und dieser Nutzer wird nach seinem speziellen Salesforce-Nutzernamen gefiltert.

Konfiguration

Gehen Sie im Bereich „Erkunden“, im Design oder im Dashboard im Bereich FILTER so vor:

  1. Wählen Sie für den gewünschten Filter die Option Stimmt mit einem Nutzerattribut überein aus.

    Das Auswahlfeld rechts wird automatisch mit einer Liste von Nutzerattributen aktualisiert, die denselben Typ wie das Feld des Filters haben, z. B. Zahl, String (Text), Datum usw. Bei Looker wird der Wert für jedes Nutzerattribut in Klammern angezeigt.

  2. Wählen Sie das gewünschte Nutzerattribut aus.

Erweiterte Filtersyntax

Falls Sie eine komplexere Vorgehensweise als eine einfache Gleichheitsüberprüfung für den Filter durchführen möchten, wählen Sie Übereinstimmungen (erweitert) aus und verweisen Sie mithilfe einer Flüssigkeitsvariablen auf das Nutzerattribut:

{{ _user_attributes['name_of_attribute'] }}

Beispiel: Sie müssen ein sf_-Präfix auf den Wert des salesforce_username-Nutzerattributs anwenden, weil die Werte so in Ihrer Datenbank gespeichert werden. Wenn Sie dem Nutzerattributwert ein Präfix hinzufügen möchten, verwenden Sie die Syntax der _user_attributes Liquid-Variable:


sf_{{_user_attributes['salesforce_username']}}

Sie können das gleiche Muster verwenden, um Nutzerattribute in LookML-Dashboard-Filter und Dashboard-Elementfilter einzufügen.

Geplante Dashboards und Looks

Dashboard- und Look-Filter lassen sich für jeden Zeitplan festlegen. Dazu zählt auch die Option, ein Nutzerattribut zu verwenden. Auf diese Weise können Sie die Ergebnisse der Datenübermittlung für jeden E-Mail-Empfänger anpassen. Sie können Auslieferungen für Inhalte anpassen, die als einmalige oder wiederkehrende Zustellungen gesendet werden.

Sie könnten beispielsweise ein Nutzerattribut mit dem Namen salesforce_username erstellen und den Wert auf den Salesforce-Nutzernamen der einzelnen Nutzer festlegen. Legen Sie einen Filter auf einem Dashboard oder einem Look-Zeitplan auf das Nutzerattribut salesforce_username fest, damit jeder Empfänger dieses Dashboard nach seinem Salesforce-Nutzernamen filtert.

Vorbereitung

Nur Looker-Nutzer haben Nutzerattributwerte festgelegt. Daher muss jeder Empfänger der Datenübermittlung ein Looker-Konto haben. Nutzerattribute werden angewendet, wenn das Dashboard ausgeführt wird oder nach jedem Empfänger gesucht wird.

Konfiguration

Öffnen Sie den Planer für das Look oder das Dashboard:

  1. Wählen Sie im Abschnitt Filter für den gewünschten Filter die Option Stimmt mit einem Nutzerattribut überein aus.

    Das Auswahlfeld rechts wird automatisch mit einer Liste der Nutzerattribute aktualisiert, die dem Filtertyp entsprechen. Ihr eigener Wert für jedes Nutzerattribut wird in Klammern angezeigt.

  2. Wählen Sie das gewünschte Nutzerattribut aus.

  3. Klicken Sie neben dem Feld E-Mail-Optionen das Kästchen Zeitplan als Empfänger ausführen an.

Zugriffsfilter

Sie können die Daten, auf die Nutzer zugreifen können, mit Zugriffsfiltern einschränken, die Sicherheit auf Zeilenebene bieten. Obwohl Sie den Parameter access_grant verwenden können, sind Zugriffsfilter leichter zu implementieren und mit Nutzerattributen zu pflegen.

Zugriffsfilter bieten eine sichere Möglichkeit, nutzerspezifische Dateneinschränkungen anzuwenden. Wenn Sie einen oder mehrere Zugriffsfilter für eine LookML-Erkundung festlegen, wird erzwungen, dass die von einer explorativen Datenanalyse zurückgegebenen Daten auf Grundlage des Nutzers, der die Abfrage ausführt, gefiltert werden. Daher bieten Zugriffsfilter eine zusätzliche Einschränkung, damit der Nutzer nur bestimmte Teilmengen der Daten aus einer Datenbankverbindung sehen kann.

SQL-Hinweis: Zugriffsfilter sorgen für Sicherheit auf Zeilenebene, indem sie Bedingungen in die SQL-WHERE-Klausel einfügen. Nutzerattribute können auf andere Weise in LookML genutzt werden, um die Sicherheit auf Spaltenebene zu gewährleisten, wie im Communitybeitrag Sensible Felder maskieren beschrieben.

Konfiguration

  1. Erstellen Sie ein Nutzerattribut:
    • Wählen Sie für Nutzerzugriff die Option Keine (empfohlen) oder Ansicht aus. Ein Nutzerattribut, das so konfiguriert wurde, dass es von Nutzern bearbeitet werden kann, kann nicht für einen Zugriffsfilter verwendet werden.
    • Gruppen oder einzelnen Nutzern Nutzerattributwerte zuweisen
  2. Fügen Sie in der LookML-Definition für den Bereich „Erkunden“ einen Filter für den access_filter-Block mit den folgenden Parametern hinzu:
    • field: Name des LookML-Felds, nach dem gefiltert werden soll
    • user_attribute: Name des Nutzerattributs, der den Wert zum Filtern der Daten speichert
  3. Führen Sie eine Abfrage für dieses Explore aus.
  4. Prüfen Sie mit der WHERE-Klausel der SQL-Abfrage, ob die Daten gemäß Ihrem Wert für das Nutzerattribut gefiltert sind.

Diese LookML sorgt dafür, dass Abfragen zu Aufträgen nach Marke gefiltert werden, wobei die jeweilige Marke auf dem zugewiesenen Wert des Nutzers für ein Nutzerattribut mit dem Namen company basiert:

explore: orders {
  view_name: orders
  access_filter: {
    field: products.brand_name
    user_attribute: company
  }
  join: products {
    foreign_key: orders.product_id
  }
}

Verbindung zu Git-Anbietern herstellen

Für LookML-Projekte können Sie Git-Authentifizierung über HTTPS konfigurieren. Bei Projekten mit HTTPS-Git-Authentifizierung können Nutzerattribute verwendet werden, um sich in den Git-Konten einzelner Entwickler anzumelden, wenn sie für den Entwickler Git-Vorgänge ausführen.

Nutzerattribute für Git-Kontopasswörter müssen ausgeblendet sein. Wählen Sie beim Erstellen des Passwortattributs unter der Option Werte ausblenden die Option Ja aus und geben Sie die URL des Git-Anbieters in das Feld Domain-Zulassungsliste ein.

Zugriff mit Zugriffsberechtigungen steuern

Sie können Zugriffsberechtigungen erstellen, die den Zugriff auf eine „explorative Datenanalyse“, „Join“, „Ansicht“ oder ein Feld in LookML mithilfe der Nutzerattributwerte, des access_grant-Parameters und des required_access_grants-Parameters einschränken.

So funktionieren Zugriffsberechtigungen:

  1. Eine Zugriffsberechtigung wird mit dem Parameter access_grant definiert. Dabei ordnen Sie die Zugriffsberechtigung einem Nutzerattribut zu. Außerdem geben Sie an, welche Nutzerattributwerte Zugriff auf die Zugriffsberechtigung gewähren.
  2. Anschließend können Sie den Parameter required_access_grants auf der Ebene Erkunden, Join, Ansicht oder Feld verwenden, um die Struktur auf Nutzer zu beschränken, die Zugriff auf jede aufgeführte Zugriffsberechtigung haben.

Sie können z. B. mit einer Zugriffsberechtigung den Zugriff auf die Dimension salary auf Nutzer beschränken, die in ihrem Nutzerattribut department den Wert payroll haben.

Weitere Informationen zum Definieren von Zugriffsberechtigungen finden Sie auf der Seite mit der Parameterdokumentation zu access_grant.

Aus Sicherheitsgründen können Platzhalter oder Wertebereiche in Nutzerattributen nicht zusammen mit Zugriffsrechten verwendet werden. Weitere Informationen finden Sie auf der Dokumentationsseite zu access_grant-Parametern.

Flüssigkeitsvariablen

LookML ermöglicht die Verwendung mehrerer flüssiger Variablen, was für komplexere Arten benutzerdefinierter Ausgaben nützlich sein kann. Die Attributwerte eines Nutzers können jetzt in Liquid aufgenommen werden.

Beispiele finden Sie im Abschnitt Verbindung dieser Dokumentation sowie auf der Seite Nutzerattribute für dynamisches Schema und Einschleusen von Tabellennamen verwenden.

Google BigQuery-Datenlimits

Wenn Sie Google BigQuery als Datenbank verwenden, berechnet Google jede Abfrage basierend auf der Größe der Abfrage. Um zu verhindern, dass Nutzer versehentlich zu teure Abfragen ausführen, können Sie in Ihrer BigQuery-Verbindung unter Max Billing Gigabyte ein Nutzerattribut anwenden. Die Werte, die Sie im Nutzerattribut angeben, sollten die Anzahl der Gigabyte sein, die ein Nutzer in einer einzelnen Abfrage abrufen kann.

Eingebettete Dashboards

Sie können die Daten beschränken, die in eingebetteten Looks und Dashboards angezeigt werden, indem Sie Filterwerte auf Werten für Nutzerattribute festlegen. Weitere Informationen finden Sie im Community-Beitrag Proof of Concept Embedded Dashboard (Powered by Looker) .

Lokalisierung

Mit den Nutzerattributen locale und number_format können Sie die Darstellung von Daten, Visualisierungen und Teilen der Looker-Benutzeroberfläche für bestimmte Nutzer oder Nutzergruppen festlegen. Weitere Informationen finden Sie auf der Dokumentationsseite Lokalisierung von Looker.

Nutzerattribute und Zugriffsfilter testen

Sie können die Auswirkungen Ihrer Nutzerattribute mit der Looker-Funktion sudo testen. Administratoren (oder Nutzer mit den Berechtigungen see_users und sudo) können Sudo als weiterer Nutzer hinzufügen, um ihre Nutzung von Looker zu sehen.

Wenn Sie sich im Entwicklungsmodus befinden, sind Ihre Änderungen für andere Nutzer erst sichtbar, wenn Sie Ihre Änderungen für die Produktion bereitstellen. Wenn Sie Ihre Änderungen nicht für andere Nutzer bereitgestellt haben, sehen Sie sie nicht, wenn Sie als anderer Nutzer „sudo“ verwenden.