拡張機能とは、Looker 拡張フレームワークを通じて開発された Looker コンポーネントで構築されたウェブ アプリケーションです。これらの拡張機能は、Looker インスタンスの権限構造を継承し、モデルセット レベルで権限を処理します。ユーザーが標準の Looker アプリケーションで特定のモデルにアクセスする権限を持たない場合は、Looker 拡張機能でこれらのモデルにアクセスできません。このページでは、Looker 管理者が Looker 拡張機能にアクセスするための適切な権限をユーザーに付与する方法について説明します。
Looker Marketplace は、新しいプロジェクトを Looker アプリケーションにインポートすることで拡張機能をデプロイします。このプロジェクトには拡張機能の実行に必要なすべての要素が含まれており、少なくとも 1 つの モデルファイルがあります。Looker 管理者は、拡張機能のモデルにアクセスする権限を持つロールをユーザーに割り当てることで、そのモデルに基づいてユーザーがコンテンツを表示または操作する方法を制御できます。
たとえば、Looker インスタンスに finance、marketing、sales というモデルに基づくデータがあり、特定のユーザーだけが財務データにアクセスできるようにする場合は、finance モデルのみへのアクセス権をユーザーに付与します。拡張機能の権限も同様に機能します。
Looker 管理者は、拡張機能のモデルへのアクセス(したがって、拡張機能自体へのアクセス)権限や、拡張機能内のコンテンツの基になるモデルへのアクセスの権限を管理できます。
Looker 管理者は、[管理] パネルの [ロール] ページに移動して、Looker インスタンスで使用可能なモデルセットを構成できます。拡張機能にアクセスして使用するには、manage models 権限、またはすべてのモデルまたは拡張機能のモデルを含むモデルセットに対する explore または develop 権限のいずれかを含むロールがユーザーに割り当てられている必要があります。
ユーザーに拡張機能の権限を付与する
Looker の拡張機能は Looker 拡張フレームワークを通じて開発され、Looker Marketplace から入手できます。拡張機能を使用するには、拡張フレームワークと Marketplace 機能を有効にする必要があります。
これらの拡張機能に加えて、拡張機能に関連付けられた 3 種類の権限があります。
拡張機能を開発する権限
Looker 拡張フレームワークを使用して拡張機能を開発するには、ユーザーに LookML デベロッパーの権限が必要です。また、Looker 拡張フレームワークの概要のドキュメント ページで推奨されるスキルも必要です。
Looker Marketplace から拡張機能をインストールする権限
各拡張機能には、少なくとも 1 つの専用の LookML モデルを持つプロジェクトがあります。たとえば、データ ディクショナリ拡張機能は data-dictionary モデルを使用します。
Looker Marketplace から拡張機能をインストールするには、拡張機能のモデルに対する develop、manage_models、deploy の権限が必要です。
Looker Marketplace のアクセスキーを必要とする拡張機能をインストールする際に、構成画面では、Looker インスタンスのユーザー属性として保存されるアクセスキー値の入力を求められます。
拡張機能を使用する権限
拡張機能が Looker Marketplace からインストールされるか、Looker インスタンス内から利用できるようにする場合は、Looker 管理者がユーザー権限を構成する必要があります。
ほとんどの拡張機能のユースケースでは、ユーザーのログイン時に付与された権限で、常に拡張機能が実行されます。デフォルトでは、拡張機能のインストール後に、explore または develop の権限を持つロールと、[All] に設定された [モデルセット] のアクセス権があるユーザーは、自動的に拡張機能とそのコンテンツの表示と使用ができるようになります。追加のアクセス権の構成は不要です。拡張機能が正常に動作するには、拡張機能で使用するすべてのモデルにアクセスできる必要があります。
Looker のメインメニューの [アプリケーション] セクションに拡張機能が表示されます。
Looker では、拡張機能の基盤となるモデルの少なくとも 1 つにアクセスできる Looker ユーザーに対してのみ拡張機能が表示されます。
埋め込まれた拡張機能の場合、拡張機能は、埋め込まれた Look、ダッシュボード、Explore と同様に、作成された埋め込みユーザー ID に付与された権限を持ちます。
拡張機能の URL で /spartan オプションを使用する全画面表示の拡張機能の場合、ユーザーを拡張機能のみのユーザー グループに追加できます。このグループのユーザーは、拡張機能の外部で Looker ページを表示できません。Looker 管理者は、拡張機能のみのグループを他のグループと同様にカスタマイズし、特定の権限とモデルセットのアクセス権を持つロールを割り当てることができます。全画面表示の拡張機能を表示するために、ユーザーは拡張機能のみのグループに属している必要はありません。ユーザーがこのユーザー グループに属していない場合、拡張機能はログインしているユーザーの権限で実行されます。
ユーザー権限の追加
Looker 管理者は、ユーザーと埋め込みユーザーに、access_data とその拡張機能に関連付けられた、より制限された権限を含む権限セットを付与する必要があります。これらの権限は、拡張機能のモデルを含むモデルセットに適用する必要があります。
ユーザーに拡張機能へのアクセス権を付与するには、Looker 管理者は次の操作を行う必要があります。
- 拡張機能のモデルを含むモデルセットを作成します。または、既存のモデルセットを編集して拡張機能のモデルを追加します。
- このモデルセットに対する
access_data権限(およびその拡張機能に関連付けられたより制限された権限)が少なくとも付与されているロールがユーザーに割り当てられていることを確認します。
例: データ ディクショナリの拡張機能
データ ディクショナリ拡張機能プロジェクトは data-dictionary モデルを使用します。
ロールに explore または develop 権限が含まれないか、モデルセットのアクセス権が [すべて] に設定されていないユーザーは、data-dictionary モデルを含むモデルセットに対する explore または develop の権限の付与を Looker 管理者に依頼する必要があります。
たとえば、財務チームにデータ ディクショナリの拡張機能へのアクセス権を付与する場合、財務チームには Finance Team モデルセットが割り当てられていますが、現時点では data-dictionary モデルへのアクセス権は付与されていません。
data-dictionary モデルをモデルセットに追加するには、Finance Team モデルセットの横にある [編集] ボタンを選択し、data-dictionary モデルのチェックボックスをオンにします。
[設定を更新する] を選択して、選択内容を保存します。
data-dictionary モデルを Finance Team モデルセットに追加したら、財務チームのロールが explore または develop 権限を含む権限セットを使用していることを確認します。この例では、財務チームのロール(Finance Department)に Developer 権限セットと Finance Team モデルセットが含まれています。
Developer 権限セットには、explore 権限と develop 権限の両方が含まれています。
これで、Finance Department のロールに割り当てられたユーザーは、適切な権限と適切なモデルアクセス権を持つようになるため、データ ディクショナリ拡張機能にアクセスできます。