Os atributos do usuário proporcionam uma experiência personalizada para cada usuário do Looker. Um administrador do Looker define um atributo de usuário e, em seguida, aplica um valor de atributo de usuário a um grupo de usuários ou a usuários individuais.
Os administradores também podem definir atributos para os quais os próprios usuários fornecem valores, como senhas ou dados de contato. Vários lugares no Looker podem fazer referência aos atributos do usuário para fornecer uma experiência personalizada para cada usuário.
O Looker inclui automaticamente alguns atributos do usuário, como email, first_name, landing_page, last_name, full_name, ID, timezone (se configurado), locale e number_format.
Como visualizar atributos do usuário
Para ver sua lista de atributos do usuário, acesse a página Atributos do usuário na seção Usuários do menu Administrador.
A tabela de atributos do usuário fornece o nome, o rótulo e o tipo de cada atributo do usuário. Veja mais informações abaixo. Além disso, a tabela fornece um botão de ações para o atributo do usuário. Alguns atributos mostram "Padrão do sistema" em vez de um botão de ações, o que significa que o Looker cria esses atributos automaticamente para cada usuário. Os atributos de usuário padrão do sistema são reservados pelo Looker para uso interno e não podem ser editados.
Como criar atributos de usuário
Para definir um atributo do usuário, clique no botão Criar atributo do usuário no canto superior esquerdo da tela. Cada atributo de usuário tem as seguintes configurações:
- Nome: o nome do atributo do usuário para uso em ambientes baseados em texto, como LookML. Os nomes só podem conter letras minúsculas, números e sublinhados.
- Marcador: a versão amigável do nome. Por padrão, será o nome do atributo, com sublinhados substituídos por espaços e cada palavra em maiúscula. No entanto, o rótulo pode ser modificado conforme desejado.
Tipo de dados: esta configuração é usada para verificar se há valores válidos atribuídos aos usuários para este atributo de usuários. O tipo de dados do atributo do usuário pode ser um dos seguintes:
- String: selecione essa opção para criar um atributo de usuário que corresponda exatamente a um valor de string, como um nome de usuário. Para usar vários valores de string ou uma expressão de filtro do Looker no valor do atributo do usuário, selecione a opção Filtro de string (avançado).
- Número: selecione esta opção para especificar um único número, como número do funcionário. Para usar um intervalo de números ou uma expressão do filtro do Looker, use o filtro de número (avançado).
- Data/hora: selecione essa opção para especificar uma única data ou hora, como a data de nascimento do usuário. Para usar um intervalo de datas ou uma expressão do filtro Looker, use o Filtro de data/hora (avançado).
- Filtro de string (avançado): selecione essa opção para permitir vários valores de string ou uma expressão de filtro do Looker no atributo do usuário. Consulte a página de documentação Expressões de filtro para ver uma lista de expressões de filtro que podem ser usadas para strings.
- Filtro de números (avançado): selecione essa opção para permitir um intervalo de valores numéricos ou uma expressão de filtro do Looker no atributo do usuário. Consulte a página de documentação Expressões de filtro para ver uma lista das expressões de filtro que podem ser usadas para números.
- Filtro de data/hora (avançado): selecione essa opção para permitir um período ou uma expressão de filtro do Looker no atributo do usuário. Consulte a página de documentação Expressões de filtro para ver uma lista de expressões de filtro que podem ser usadas para data e hora.
Use os tipos de dados Filtro de string (avançado), Filtro de números (avançado) e Filtro de data/hora (avançado) para inserir valores com as expressões de filtro do Looker, que retornam um intervalo de valores de um atributo do usuário.
Acesso do usuário: você pode escolher o nível de visibilidade e edição dos usuários para um atributo do usuário.
- Nenhum: não aparecerá nas páginas da conta dos usuários.
- Visualizar: será exibido nas páginas da conta dos usuários, mas não poderá ser editado.
- Editar: aparecerá nas páginas da conta dos usuários e poderá ser definido pelo usuário.
Ocultar valores: mesmo que os atributos do usuário estejam visíveis para os usuários, definir essa opção como Sim faz com que os valores de mascaramento do usuário sejam mascarados, o que é útil para senhas ou outras informações confidenciais. Definir esse valor como Sim também mascara o valor do atributo do usuário nas listas suspensas de atributo de usuário na página Configurações de conexão. Depois que esse valor é definido como Yes, ele nunca mais pode ser alterado de volta para No. Quando você define Hide Values como Yes, também precisa especificar uma lista de permissões de domínios permitidos como destino para o atributo do usuário.
Lista de permissões do domínio: ao ocultar os valores de um novo atributo de usuário, você também precisa especificar uma lista de permissões do domínio que consiste nos URLs para os quais o atributo pode ser enviado, como nomes de host para conexões de banco de dados e URLs para integrações de Git do projeto. Você pode usar o curinga (*) para ativar a entrega para várias páginas no mesmo site. Depois de especificar uma lista de permissões de domínio, o atributo de usuário só pode ser entregue para os destinos listados.
Depois de especificar a lista de permissões do domínio para esse atributo de usuário, se o atributo de usuário tiver recebido valores (para um usuário, para um grupo ou definindo um valor padrão), não será possível alterar a lista de permissões para tornar os URLs menos restritivos. Você só pode tornar os URLs mais restritivos ou removê-los da lista de permissões. Por exemplo, se a lista de permissões do domínio incluir uma entrada
my_domain/route/*, não será possível alterá-la depois paramy_domain/*. Se você precisar tornar a lista de permissões menos restritiva, exclua todos os valores existentes atribuídos ao atributo do usuário, incluindo valores padrão.Definir um valor padrão: marque essa caixa de seleção para definir um valor padrão caso um valor não seja atribuído a um usuário.
Depois de definir um atributo de usuário, você pode atribuir valores a usuários individuais ou a grupos de usuários clicando nas guias Valores do usuário e Valores dos grupos na parte superior da página.
Como atribuir valores a usuários individuais
Depois de definir um atributo de usuário, você pode atribuir um valor a ele a um usuário individual:
- Clique na guia Valores do usuário.
- Escolha o usuário para atribuir um valor no menu suspenso. Isso revela uma tabela de valores que se aplicam a esse usuário.
- Clique no botão Set Value for User.
- Digite o novo valor no campo Novo valor.
- Clique em Save.
Quando um valor é atribuído a um usuário, esse valor sempre tem precedência sobre os valores atribuídos aos grupos desse usuário. A guia Valores do usuário mostra quando um valor personalizado foi atribuído a um atributo de usuário que substitui um valor de grupo. O texto "Modificado" aparecerá ao lado de qualquer valor modificado, e esses valores não serão considerados. O texto "Valor atual" aparecerá ao lado do valor do atributo do usuário ativo.
Para atribuir vários valores a um atributo do usuário, use o tipo de dados Filtro de string (avançado) e insira vários valores separados por vírgulas. Verifique se não há espaços em branco entre os valores. Por exemplo, insira a string: Executive, Management, Contributors.
Para atribuir todos os valores possíveis a um administrador do Looker ou a outro usuário, use um valor curinga no atributo do usuário:
Para conceder a um administrador ou outro usuário acesso a todos os valores de um campo de string, defina o tipo de dados de atributo de usuário como Filtro de string (avançado) e use o valor
%, NULL.Para conceder a um administrador ou outro usuário acesso a todos os valores de um campo de número, defina o tipo de dados de atributo do usuário como Filtro de números (avançado) e use o valor
<0, >=0, NULL.
Por motivos de segurança, o uso de caracteres curinga ou um intervalo de valores em um atributo de usuário não é compatível com as concessão de acesso. Consulte a página de documentação do parâmetro
access_grantpara mais informações.
Como atribuir valores a grupos de usuários
Você pode atribuir um valor para um atributo de usuário a um grupo de usuários. Na página Atributos do usuário do painel Administrador, selecione Editar à direita do atributo que você quer definir. Em seguida:
- Clique em Valores do grupo.
- Clique no botão + Adicionar grupo.
- Escolha o grupo para atribuir um valor no menu suspenso.
- Digite o valor do grupo no campo Valor.
- Clique em Save.
Quando um valor é atribuído a vários grupos, você precisa decidir qual deles deve ter precedência, caso um usuário pertença a vários grupos. Para fazer isso, arraste os grupos para a ordem aplicável. Cada grupo tem precedência sobre os grupos listados abaixo.
No exemplo anterior, há os grupos Equipe executiva e Equipe de gerenciamento. Os executivos também são gerentes e, portanto, são membros de ambos os grupos. Arrastar o grupo "Equipe executiva" para a parte superior da lista garantirá que seus membros receberão o valor Executivo em vez do valor Gerente.
Se um usuário definiu um valor personalizado para um atributo de usuário, o valor definido pelo usuário substitui qualquer valor fornecido a um grupo ao qual o usuário pertence.
Onde os atributos do usuário podem ser usados?
Os atributos do usuário têm as seguintes funções:
Conexões de banco de dados
O host, a porta, o banco de dados, o nome de usuário, a senha e o esquema de uma conexão podem receber o valor de um atributo do usuário. O campo de host de conexão não aceita atributos de usuário com nível de Acesso de usuário definido como Editável.
Esses atributos de usuário tornam a conexão específica para o usuário que executa uma consulta. Os atributos do usuário também podem ser referenciados no campo Parâmetros JDBC adicionais, que personaliza a string de conexão do JDBC. Quando um usuário executa uma consulta usando a conexão, os valores de atributo do usuário atribuídos são aplicados, permitindo que a conexão seja personalizada com base no usuário.
Se você definir um ou mais parâmetros de conexão para um atributo de usuário, será preciso definir credenciais separadas de tabela derivada permanente (PDT, na sigla em inglês) para usar PDTs no modelo do LookML. Uma exceção: a configuração de Gigabytes de faturamento máximo do BigQuery pode ser definida como um atributo de usuário sem exigir um usuário separado do PDT.
Configuração
É possível configurar qualquer conexão para usar atributos de usuário da página Conexões, na seção Administrador do Looker. Consulte a página Configurações de administrador - Conexões para obter informações sobre a página Conexões. Para criar uma nova conexão, clique em Nova conexão. Para configurar uma conexão existente, clique em Editar ao lado da conexão.
Se for possível definir uma entrada para um atributo de usuário, o Looker exibirá um botão Atributo de usuário ao lado da entrada.
Clique no botão Atributo do usuário para exibir um menu suspenso que permite escolher o atributo do usuário desejado. A lista exibe o nome do atributo do usuário com o valor do atributo do usuário entre parênteses.
Para fazer referência a um atributo de usuário no campo Parâmetros JDBC adicionais, use a mesma sintaxe de modelos líquidos disponível no LookML. Os atributos do usuário são disponibilizados pela variável Liquid _user_attributes. Por exemplo, para referenciar um atributo de usuário chamado my_jdbc_param_attribute, use a seguinte sintaxe:
my_jdbc_param={{ _user_attributes['name_of_attribute'] }}
Caso de uso: como aplicar permissões no nível do banco de dados no Looker
Se o banco de dados tiver contas diferentes com várias restrições de acesso, use as permissões do banco de dados no Looker. Parametrize o nome de usuário e a senha de uma conexão para que cada usuário se conecte com as credenciais apropriadas para o nível de acesso do banco de dados dele. Isso garante que os usuários não vejam dados aos quais não deveriam ter acesso, mas isso não afetará quais explorações, dimensões e medidas são mostradas a eles no Looker.
Por exemplo, se um usuário estiver configurado para se conectar ao banco de dados com uma conta que impeça de ver uma coluna credit_card_number na tabela user, qualquer dimensão que use essa coluna ainda aparecerá para ele no Looker. Eles simplesmente receberão um erro do banco de dados se tentarem executar uma consulta que inclua essa dimensão.
Caso de uso: como usar um modelo para vários bancos de dados idênticos
Digamos que você tenha vários bancos de dados com o mesmo esquema, como quando os dados de cada cliente são isolados no próprio banco de dados para medidas de segurança de dados (como compliance com a HIPAA). Ou talvez você queira que os desenvolvedores do LookML executem consultas em uma cópia de desenvolvimento de um banco de dados de produção.
Se esses bancos de dados estiverem no mesmo servidor, não será necessário configurar conexões e modelos separados. Em vez disso, defina o banco de dados de uma conexão com um atributo do usuário. Cada usuário será direcionado para o banco de dados especificado no valor para o atributo de usuário Database Name.
O uso de atributos do usuário em uma conexão desativa as tabelas derivadas persistentes para essa conexão.
Ações de dados
As ações de dados podem ser configuradas para incluir determinados atributos do usuário com o payload JSON. Use-o para enviar informações específicas do usuário junto com os dados, como as credenciais, para executar uma operação em um serviço específico.
Configuração
Para incluir um atributo de usuário em uma ação de dados, adicione um bloco user_attribute_param à definição de action. Cada bloco usa dois parâmetros:
user_attribute: o nome do atributo do usuárioname: o nome a ser usado no payload JSON
Este exemplo usa dois atributos de usuário (salesforce_username e salesforce_password) para armazenar as credenciais do Salesforce de cada usuário no Looker. Quando um usuário executa a ação de atualização de dados no Salesforce, o Looker envia as credenciais do Salesforce com o payload JSON, que o servidor de recebimento pode usar na autenticação com o Salesforce.
dimension: stage_name {
type: string
sql: ${TABLE}.stage_name;;
action: {
label: "Update in Salesforce"
url: "https://example.com/my_salesforce_url"
user_attribute_param: {
user_attribute: salesforce_username
name: "username"
}
user_attribute_param: {
user_attribute: salesforce_password
name: "password"
}
form_param: {
name: "new_stage_name"
type: string
required: yes
}
}
}
Ações personalizadas em um hub de ações
É possível configurar uma ação personalizada para incluir atributos que restringem o envio ou a programação de conteúdo do Looker a um destino de ação se eles não tiverem um valor definido para esse atributo.
Configuração
O parâmetro params em uma ação personalizada representa os campos de formulário que um administrador do Looker precisa configurar na página de ativação da ação na lista Ações do painel Administrador. No parâmetro params do arquivo de ação, inclua:
params = [{
label: "A label for the param.",
name: "action_param_name",
user_attribute_name: "user_attribute_name",
required: true,
sensitive: true,
}]
em que user_attribute_name é o atributo do usuário definido no campo Nome na página Atributos na seção Usuários do painel Administrador. required: true significa que um usuário precisa ter um valor não nulo e válido definido para que o atributo do usuário veja a ação ao entregar dados, e sensitive: true significa que o valor do atributo de usuário é criptografado e nunca exibido na IU do Looker após ser inserido. Você pode especificar vários subparâmetros de atributo do usuário.
Um administrador do Looker precisa configurar os campos de formulário da ação com o atributo do usuário:
- Clique no botão Ativar ou Configurações ao lado da ação na página Ações do painel Administrador.
- Clique no ícone de atributo do usuário
à direita do campo apropriado e selecione o atributo do usuário desejado.
Consulte a seção Como adicionar atributos de usuário a ações personalizadas da página de documentação Compartilhamento de dados por meio de um hub de ações.
Filtros
Os filtros em Descobertas, Aparências e painéis podem ser definidos como um atributo do usuário para personalizar a consulta com base no usuário que a executa.
Por exemplo, é possível criar um atributo de usuário chamado salesforce_username e configurar cada usuário do Looker para que o valor dele seja o nome de usuário do Salesforce. Em seguida, é possível definir um filtro em um painel para o atributo de usuário salesforce_username, e cada usuário veria esse painel filtrado para seu nome de usuário específico do Salesforce.
Configuração
Na seção FILTROS do painel "Explorar", "Aparência" ou "Painel":
Selecione a opção corresponde a um atributo de usuário no filtro desejado.
A caixa de seleção à direita é atualizada automaticamente com uma lista de atributos de usuários que têm o mesmo tipo do campo do filtro, como número, string (texto), data e assim por diante. O Looker mostra o valor de cada atributo do usuário entre parênteses.
Selecione o atributo de usuário desejado.
Sintaxe de filtro avançado
Se você quiser fazer algo mais complexo do que uma simples verificação de igualdade para o filtro, selecione correspondências (avançado) e faça referência ao atributo do usuário usando uma variável de líquido:
{{ _user_attributes['name_of_attribute'] }}
Por exemplo, suponha que você precise aplicar um prefixo sf_ ao valor do atributo salesforce_username porque esses são os valores armazenados no seu banco de dados. Para adicionar o prefixo ao valor do atributo do usuário, use a sintaxe de variável Liquid _user_attributes:
sf_{{_user_attributes['salesforce_username']}}
É possível usar o mesmo padrão para inserir atributos do usuário em filtros do painel e filtros de elemento do painel do LookML.
Painéis e aparências programados
Os filtros do painel e da aparência podem ser definidos por programação, incluindo a opção de usar um atributo do usuário. Isso permite que você personalize os resultados da entrega de dados para cada destinatário de e-mail. É possível personalizar entregas de conteúdo enviadas como únicas e recorrentes.
Por exemplo, é possível criar um atributo de usuário chamado salesforce_username e definir o valor como o nome de usuário do Salesforce de cada usuário. Defina um filtro em um painel ou em "Programar programação" para o atributo de usuário salesforce_username para que cada destinatário filtre o painel pelo nome de usuário do Salesforce.
Pré-requisitos
Somente usuários do Looker têm valores de atributos definidos. Portanto, cada destinatário da entrega de dados precisa ter uma conta do Looker. Para aplicar os atributos do usuário, execute o painel ou procure uma vez para cada destinatário.
Configuração
Abra o programador do Look ou do painel:
Na seção Filtros, selecione a opção corresponde a um atributo de usuário no filtro desejado.
A caixa de seleção à direita é atualizada automaticamente com uma lista de atributos do usuário do mesmo tipo do filtro. Seu próprio valor para cada atributo de usuário é mostrado entre parênteses.
Selecione o atributo de usuário desejado.
Marque a caixa de seleção Executar programação como destinatário ao lado do campo Opções de e-mail.
Acessar filtros
Você pode limitar os dados que um usuário pode acessar com filtros de acesso, que oferecem segurança no nível da linha. Embora seja possível usar o parâmetro access_grant, os filtros de acesso são implementados e mantidos mais facilmente com os atributos do usuário.
Os filtros de acesso oferecem uma maneira segura de aplicar restrições de dados específicas do usuário. Definir um ou mais filtros de acesso para uma exploração do LookML faz com que os dados retornados de uma exploração sejam filtrados com base no usuário que executa a consulta. Assim, os filtros de acesso fornecem uma camada extra de restrição, garantindo que o usuário possa ver somente subconjuntos específicos dos dados de uma conexão de banco de dados.
Observação sobre SQL: os filtros de acesso oferecem segurança no nível da linha por meio da inserção de condições na cláusula SQL
WHERE. Os atributos de usuário podem ser aproveitados no LookML de outra maneira para fornecer segurança no nível da coluna, conforme descrito na postagem da comunidade Como mascarar campos sensíveis para determinados usuários (em inglês).
Configuração
- Crie um atributo de usuário:
- Configure com User Access definido como None (recomendado) ou View. Um atributo de usuário configurado para ser editável pelos usuários não pode ser usado para um filtro de acesso.
- Atribua valores de atributos do usuário a grupos ou usuários individuais.
- Na definição do LookML para o Explorar em que você quer usar o filtro de acesso, adicione um bloco
access_filtercom os seguintes parâmetros:field: o nome do campo LookML no qual filtraruser_attribute: o nome do atributo do usuário que armazena o valor que você quer usar para filtrar os dados
- Execute uma consulta nessa exploração.
- Verifique a cláusula
WHEREdo SQL da consulta para confirmar se os dados são filtrados de acordo com seu valor para o atributo do usuário.
Esse LookML garante que as consultas sobre pedidos sejam filtradas por marca, com a marca específica baseada no valor atribuído ao usuário para um atributo de usuário chamado company:
explore: orders {
view_name: orders
access_filter: {
field: products.brand_name
user_attribute: company
}
join: products {
foreign_key: orders.product_id
}
}
Como se conectar a provedores Git
Para projetos do LookML, você pode configurar a autenticação do Git em HTTPS. Os projetos que usam a autenticação Git HTTPS têm a opção de aproveitar os atributos do usuário para fazer login em contas Git de desenvolvedor individual ao executar operações Git para o desenvolvedor.
Os atributos do usuário para senhas de conta do Git precisam estar ocultos. Ao criar o atributo de senha, selecione Sim na opção Ocultar valores e insira o URL do provedor do Git no campo Lista de permissões do domínio.
Como controlar o acesso com concessões de acesso
É possível criar concessões de acesso que limitam o acesso de um LookML "Explore", "join", "view" ou "field" usando valores de atributo do usuário, os parâmetros access_grant e required_access_grants.
As concessões de acesso funcionam assim:
- Para definir uma concessão de acesso, use o parâmetro
access_grant. Como parte da definição, você associa a concessão de acesso a um atributo de usuário. Você também especifica quais valores de atributo de usuário fornecem acesso à concessão de acesso. - Em seguida, use o parâmetro
required_access_grantsnos níveis de explorar, participar, visualizar ou de campo para restringir essa estrutura apenas aos usuários que têm acesso a todas as permissões de acesso listadas.
Por exemplo, é possível usar uma concessão de acesso para limitar o acesso à dimensão salary apenas aos usuários que têm o valor payroll no atributo department.
Para mais informações sobre como definir concessões de acesso, consulte a página de documentação do parâmetro access_grant.
Por motivos de segurança, o uso de caracteres curinga ou um intervalo de valores em um atributo de usuário não é compatível com as concessão de acesso. Consulte a página de documentação do parâmetro
access_grantpara mais informações.
Variáveis líquidas
O LookML permite o uso de várias variáveis líquidas diferentes, que podem ser úteis para tipos mais complexos de saída personalizada. Os valores de atributos do usuário agora podem ser incluídos no Liquid.
Veja exemplos na seção Conexão desta página de documentação e na página Como usar atributos do usuário para injeção dinâmica de esquema e nome de tabela.
Limites de dados do Google BigQuery
Se você usa o Google BigQuery como banco de dados, o Google cobra por consulta com base no tamanho da consulta. Para evitar que os usuários executem acidentalmente uma consulta muito cara, aplique um atributo de usuário na configuração Max Billing Gigabytes na sua conexão do BigQuery. Os valores fornecidos no atributo do usuário devem ser o número de gigabytes que o usuário pode extrair em uma única consulta.
Painéis incorporados
É possível limitar os dados exibidos nos painéis e aparências incorporados com base em valores de filtro com base nos valores de atributo do usuário. Para mais informações, consulte a postagem da comunidade Como criar uma prova de conceito de painel incorporado (powered by Looker) .
Localização
Os atributos de usuário locale e number_format podem definir a aparência dos dados, visualizações e partes da interface do usuário do Looker para usuários ou grupos de usuários específicos. Consulte a página de documentação Como localizar o Looker (em inglês) para mais informações.
Como testar atributos do usuário e filtros de acesso
Você pode testar os efeitos dos seus atributos de usuário com a função sudo do Looker. Os administradores (ou os usuários com as permissões see_users e sudo) podem usar o sudo como outro usuário para ver a experiência deles com o Looker.
No modo de desenvolvimento, as alterações só ficam visíveis para outros usuários quando você as implanta na produção. Se você não implantou suas alterações para que outros usuários possam vê-las, não as verá quando usar o sudo como um usuário diferente.