管理菜单的用户部分中的用户页面列出了 Looker 实例中的所有用户帐号。
查看和搜索用户
用户页面会显示以下信息:
标签页按类型对用户进行分组:
- 标准用户标签页会显示通过常规身份验证流程或 Looker API 直接登录 Looker 的用户。
- 嵌入用户标签页显示通过第三方应用进行身份验证的 SSO 嵌入用户。
- Looker 支持标签页会显示有权访问您的 Looker 实例的 Looker 支持分析师。
过滤器列表字段用于限制显示哪些用户。您可以按用户 ID、姓名或电子邮件地址进行过滤。要按用户 ID 进行过滤,请输入用户 ID 以显示用户。对于姓名和电子邮件地址,当您输入任意字符串时,所显示的用户名单都会显示在名称或电子邮件地址中包含您在过滤条件字段中输入的字符串的所有用户。过滤器列表取代了旧版用户页面上的搜索功能。
点击用户列标题,可按用户名的升序或降序对表格进行排序。
每一行都列出了用户的姓名、ID 和电子邮件地址,并且还带有一个图标,指明用户具有的访问权限类型。将光标悬停在相应图标上,查看图标表示的内容。
点击相应行以修改用户。用户图标上会显示锁形图标,表明用户无法修改。这类用户是系统创建的(例如“所有用户”群组的成员),或者由 LDAP、SAML 或 OpenID Connect 协议在外部管理的用户。
有效凭据列列出了用户对您的 Looker 实例的访问权限类型。
群组列会列出用户所属的所有群组。
角色列会列出分配给用户的所有角色。
您可以点击添加用户按钮来创建新用户。
点击三点状选项菜单以停用用户、sudo as the user或删除用户。
用户删除操作无法撤消。然后再考虑贵组织的法规遵从和安全需求。
添加用户
如需添加用户,请点击添加用户按钮。
在添加新用户页面中,输入或粘贴一系列以英文逗号分隔的电子邮件地址,然后选择要分配给每个电子邮件地址的群组和角色。要查看群组列表,请在群组字段中开始输入内容;包含相应文本的所有群组名称都会显示。点击保存按钮创建用户,同时选中发送设置电子邮件复选框以发送注册电子邮件。
修改用户
要修改用户,请点击该用户的行。在修改用户页面上,根据需要调整以下设置。
帐号
启用或停用用户帐号。请考虑停用用户帐号,而不要删除帐号。
名字
添加或修改用户的名字(如果适用)。此字段不需要值,但可用于组织。
姓氏
添加或修改用户的姓氏(如果适用)。此字段不需要值,但可用于组织。
电子邮件
添加或修改用户的电子邮件地址。当用户登录 Looker 时,该电子邮件地址将用作其用户名。
语言区域
语言区域字段用于设置用户的界面语言和模型语言区域。
如果您希望用户看到特定语言的界面 (UI) 文本,Looker 支持下表中显示的界面翻译。在 Locale 字段中输入代码。
如果您希望用户查看一个或多个数据模型的本地化版本,请在语言区域字段中输入该语言区域的字符串文件标题。
如果您希望用户同时查看模型本地化和 Looker 的内置界面翻译,则模型的字符串文件应与下表中相应的语言区域代码具有相同的名称;应在语言区域字段中输入该代码。
如要确认语言区域设置,请点击页面底部的保存。
| 语言 | 语言区域代码和字符串文件名 |
|---|---|
| 英语 | en |
| 捷克语 | cs_CZ |
| 德语 | de_DE |
| 西班牙语 | es_ES |
| 法语 | fr_FR |
| 印地语 | hi_IN |
| 意大利语 | it_IT |
| 日语 | ja_JP |
| 韩语 | ko_KR |
| 立陶宛语 | lt_LT |
| 挪威语(博克马尔语) | nb_NO |
| 荷兰语 | nl_NL |
| 波兰语 | pl_PL |
| 葡萄牙语(巴西) | pt_BR |
| 葡萄牙语 | pt_PT |
| 俄语 | ru_RU |
| 瑞典语 | sv_SE |
| 泰语 | th_TH |
| 土耳其语 | tr_TR |
| 乌克兰语 | uk_UA |
| 简体中文 | zh_CN |
| 繁体中文 | zh_TW |
对于未设置语言区域的用户,Looker 会将在管理面板的本地化页面上选择的语言区域用作默认语言区域;如果未设置语言区域,Looker 将默认使用 en。
设置自定义语言区域
Looker 开发者可以创建自定义语言区域,仅用于模型本地化。自定义语言区域代码由在模型本地化流程中创建的字符串文件标题指定。如需将该自定义语言区域应用于用户,请执行以下步骤:
在语言区域字段中输入自定义语言区域代码。当您在字段中输入内容时,所有已有的文本都会消失。
点击创建“your_custom_locale_code”。
点击页面底部的保存。代码将添加到用户的语言区域下拉菜单中。
Looker 界面目前不支持自定义的语言区域。如果您在用户的语言区域字段中使用自定义语言区域,则该用户的界面默认采用实例语言区域中设置的语言。
数字格式
对于数据表和可视化图表中显示的数字,Looker 的默认数字格式设置为 1,234.56。但是,数字格式可以设置为以下任一项:
- 1,234.56:以英文逗号分隔,以英文句点分隔;小数点以英文句点分隔
- 1.234,56:以英文句点分隔的千位;以英文逗号分隔的小数位
- 1 234,56:使用空格分隔的千位数字;以英文逗号分隔的小数位
有关使用数字格式设置的更多信息和示例,请参阅本地化数字格式文档页面。
时区
如果您为 Looker 实例启用了用户专用时区,则可以选择该用户在 Looker 中运行查询时将使用的时区。
发送设置链接 / 发送重置链接
如果用户从未登录,此按钮将标记为发送设置链接。如果用户之前登录过,此按钮会标有发送重置链接按钮。如果您需要设置或重置密码,可以点击此按钮发送一个指向您之前指定用户的电子邮件地址的链接。发送给用户的网址将显示在此字段中。如需了解如何在 Looker 中指定密码复杂度要求,请参阅密码要求文档页面。如果用户未在一小时内重置密码,密码重置链接将会失效。
双重验证 Secret
如果您为实例启用了双重身份验证 (2FA),则会出现此选项。点击重置按钮,为用户重置 2FA。这会导致 Looker 在用户下次尝试登录 Looker 实例时,提示用户使用 Google 身份验证器应用重新扫描二维码。
API 密钥
API 密钥用于访问 Looker API。API 密钥由 Looker 创建,由客户端 ID 和客户端密钥组成。Looker 需要使用 API 密钥才能通过 Looker API 执行命令。
如需生成 API 密钥,请点击修改密钥按钮。修改用户 API 密钥页面会打开并显示现有 API 密钥。点击新建 API 密钥按钮以生成新的密钥。
API 密钥拥有的权限与创建它们时使用的用户帐号相同。
最佳做法是为 API 脚本创建专用用户帐号,每个脚本对应一个用户帐号。这样一来,您就可以配置用户帐号,为其分配一组特定的权限,从而仅执行脚本的功能。例如,对于运行查询的 API 脚本,您可以创建具有 access_data 权限的用户帐号,但不能创建其他权限。
这样,您就可以通过区分脚本访问权限来提高安全性。此外,如果您需要停止脚本,只需停用(或删除)该脚本的用户帐号即可。请务必先阅读此页面上的移除用户访问权限部分,然后再删除任何用户帐号。
个别角色
如果您想逐个分配角色,则可以选择此用户应具有的角色。您可以参阅角色页面详细了解如何配置角色;也可以参阅权限管理文档页面,更详细地了解 Looker 权限。
Looker 通常建议向群组分配角色,而不是直接为个别用户分配角色。
群组
列出用户所属的群组。您可以从下拉菜单中选择群组,从而添加新用户;也可以点击列表中群组名称旁边的 X,从群组中移除用户。
您也可以在群组管理页面将用户添加到群组。
角色
列出分配给用户的角色。您可以从下拉列表中选择新角色以向用户添加新角色,也可以点击列表中角色名称旁边的 X 从用户中移除角色。
您也可以在角色“管理”页面添加角色。
用户属性
设置并取消设置用户的用户属性的值。分配给个别用户的值会覆盖作为某个群组成员的成员资格所产生的任何值。系统设置无法修改。
移除用户访问权限
如需移除某个用户对 Looker 的访问权限,您可以停用或删除该用户的帐号。在大多数情况下,最佳做法是停用该帐号。
下表介绍了停用和删除用户帐号之间的区别:
| 说明 | 已停用 | 已删除 |
|---|---|---|
| 用户可以登录 Looker 实例 | 否 | 否 |
| 用户的个人文件夹 | 仍然存在 | 已删除 |
| 用户个人文件夹中的外观和信息中心 | 仍然存在 | 已移至回收站文件夹 |
| 用户保存到共享文件夹的外观和信息中心 | 仍在共享文件夹中 | 仍在共享文件夹中 |
| 用户创建的时间表 | 时间表已停用 | 时间表已删除 |
| 基于用户的内容安排,但由其他用户创建 | 时间表继续运行 | 系统会删除用户的内容,并会根据该内容删除时间表 |
| 列为用户收件人的时间表,由其他用户创建,能够向外部电子邮件帐号传送内容 | 时间表将继续正常运行并运行(用户将被视为外部用户) | 时间表会继续正常运行并照常投放(系统会将用户视为外部用户) |
| 启用了以收件人身份运行时间表并将用户列为收件人的时间表 | 时间表仍会继续运行,但在下次运行时将无法投放给已停用的用户 | 时间表仍会继续运行,但无法向出现错误的用户发送 run_as_recipient was specified on ScheduledPlan but recipient is not a Looker user |
| 用户创建的白板 | 仍然存在 | 仍然存在 |
| 用户创建的提醒 | 保持有效状态,但无法在可以设置提醒的信息中心查看或修改,除非管理员自行分配。管理员可以在管理面板的提醒管理页面修改提醒或自行分配提醒。 | 系统会立即从信息中心以及管理面板的提醒管理页面删除提醒。 |
| 用户的历史使用情况信息 | 已保留 | 大多数消息已删除 |
停用用户
为防止用户访问 Looker,通常最好停用该用户帐号。停用用户帐号后,系统会保留该用户的使用情况历史记录和个人内容。要详细了解停用用户和删除用户之间的区别,请参阅本页面移除用户访问权限部分中的表格。
要停用用户帐号,请从用户所在行右侧的三点状选项菜单中选择停用用户。
删除用户
用户删除操作无法撤消。然后再考虑贵组织的法规遵从和安全需求。
请考虑停用用户帐号,而不是删除用户。这会导致用户无法登录,但其信息、内容和历史记录将保持不变。要详细了解停用用户和删除用户之间的区别,请参阅本页面移除用户访问权限部分中的表格。
如要删除用户帐号,请从用户所在行右侧的三点状选项菜单中选择删除用户。
模拟(撤消)用户
您这样做后,就能像其他用户一样浏览 Looker,并拥有其所有权限和能力。
待办事项验证也是一种非常有用的方法,可验证您是否已正确配置权限和其他功能,或者在用户提交并推送更改之前查看其 LookML 开发。
必须具备 see_users 和 sudo 权限,才能以其他用户的身份执行 sudo 操作。管理员可以以任何其他用户身份(包括其他管理员)执行 sudo 操作。非管理员用户只能像其他非管理员用户一样执行 sudo 命令。
如需以用户的身份执行 sudo 操作,请从用户行右侧的三点状 Options 菜单中选择 Sudo as this user:
屏幕顶部会显示一条警告,提醒您当前处于已隐藏状态。这样,你就可以退出已忽略的状态。在此状态下所做的任何更改都会影响您正在模拟的用户。
如果您处于开发模式,则在将更改部署到生产环境之前,其他用户不会看到您所做的更改。如果您尚未部署更改以供其他用户查看,则在以其他用户的身份执行 sudo 操作时,您不会看到所做更改。
像 SSO 嵌入一样执行用户操作,并直接与 Looker 实例互动(而不是通过嵌入式 iframe 互动)可能会导致意外结果。除了按常规权限设置的任何限制之外,单点登录嵌入用户还会受到嵌入式 iframe 的限制。不过,如果用户以 SSO 嵌入用户的身份退出,并在 iframe 之外进行互动,那么这些限制可能不会显示。
对于使用 OAuth 的数据库连接(例如 Snowflake 和 Google BigQuery),以其他用户的身份执行撤消操作时,该执行这些操作的用户会使用已撤消权限的 OAuth 访问令牌。对于 Snowflake 连接,如果用户的访问令牌已过期,管理员将无法代表已撤消的用户创建新令牌;用户必须登录 Snowflake 并重新授权 Looker。