Définir des autorisations pour les extensions Looker

Les extensions sont des applications Web créées avec des composants Looker développées via le framework d'extension Looker. Ces extensions hériteront de la structure d'autorisations de votre instance Looker et géreront les autorisations au niveau de l'ensemble de modèles. Si un utilisateur n'est pas autorisé à accéder à certains modèles dans l'application Looker standard, il ne pourra pas y accéder dans les extensions Looker. Cette page explique comment les administrateurs Looker peuvent accorder aux utilisateurs les autorisations appropriées pour accéder aux extensions Looker.

Looker Marketplace déploie une extension en important un nouveau projet dans votre application Looker. Ce projet contient tout ce qui est nécessaire pour exécuter l'extension et comporte au moins un fichier de modèle. Les administrateurs Looker peuvent contrôler la façon dont un utilisateur affiche ou interagit avec le contenu en fonction de ce modèle en lui attribuant un rôle disposant d'autorisations pour accéder au modèle de l'extension.

Par exemple, si votre instance Looker contient des données basées sur des modèles appelés finance, marketing et sales, mais que vous ne souhaitez qu'un certain nombre d'utilisateurs aient accès aux données financières, vous n'accorderez l'accès qu'au modèle finance. Les autorisations des extensions fonctionnent de la même manière.

Les administrateurs Looker peuvent contrôler les autorisations d'accès au modèle d'une extension (et donc à l'extension elle-même), ainsi que le ou les modèles sur lesquels le contenu de l'extension est basé.

Les administrateurs Looker peuvent configurer les ensembles de modèles disponibles pour une instance Looker en accédant à la page Rôles du panneau Administration. Pour accéder à l'extension et l'utiliser, les utilisateurs doivent se voir attribuer un rôle disposant d'autorisations manage models ou explore ou develop pour tous les modèles ou l'ensemble de modèles contenant le modèle de l'extension.

Accorder des autorisations utilisateur pour les extensions

Les extensions Looker sont développées via le framework d'extension Looker et peuvent être installées via Looker Marketplace. Les extensions nécessitent l'activation des fonctionnalités Extension Framework et Marketplace.

En plus de ces fonctionnalités, trois types d'autorisations sont associés aux extensions:

Autorisations de développer des extensions

Pour développer une extension à l'aide du framework d'extension Looker, les utilisateurs doivent disposer des autorisations de développeur LookML pour l'instance, ainsi que des compétences recommandées sur la page de documentation Présentation du framework d'extension Looker.

Autorisations pour installer des extensions depuis le Marketplace Looker

Chaque extension comporte un projet avec au moins un modèle LookML dédié. Par exemple, l'extension Dictionnaire de données utilise le modèle data-dictionary.

Pour installer une extension à partir de la place de marché Looker, un utilisateur doit disposer des autorisations develop, manage_models et deploy pour le modèle de l'extension.

Lors de l'installation d'une extension nécessitant une clé d'accès provenant de Marketplace Looker, un écran de configuration invite l'utilisateur à saisir des valeurs de clé d'accès, qui seront stockées en tant qu'attributs utilisateur pour l'instance Looker.

Autorisations d'utiliser des extensions

Si l'extension est installée via Looker Marketplace ou mise à disposition à partir d'une instance Looker, l'administrateur Looker devra configurer les autorisations des utilisateurs.

Dans la plupart des cas d'utilisation des extensions, l'extension s'exécute toujours avec les autorisations accordées à l'utilisateur lorsqu'il se connecte. Par défaut, une fois l'extension installée, tout utilisateur disposant d'un rôle disposant des autorisations explore ou develop et d'un accès Ensemble de modèles défini sur Tous peut automatiquement afficher et utiliser l'extension et son contenu sans qu'aucune autre autorisation ne soit requise. Les utilisateurs doivent avoir accès à tous les modèles utilisés par l'extension pour que celle-ci fonctionne entièrement.

Looker affiche l'extension dans la section Applications du menu principal de Looker.

Looker n'affiche l'extension que pour les utilisateurs de Looker qui ont accès à au moins l'un des modèles sous-jacents de l'extension.

Pour les extensions intégrées, l'extension reprend les autorisations accordées à l'ID utilisateur intégré créé, comme pour une présentation, un tableau de bord ou une exploration intégrés.

Pour les extensions en plein écran qui utilisent l'option /spartan dans l'URL de l'extension, vous pouvez ajouter des utilisateurs à un groupe d'utilisateurs Extensions uniquement. Les utilisateurs de ce groupe ne peuvent pas afficher les pages Looker en dehors de l'extension. Les administrateurs Looker peuvent personnaliser le groupe Extensions uniquement comme n'importe quel autre groupe et lui attribuer un rôle disposant de certaines autorisations et d'un accès au set de modèles. Les utilisateurs ne sont pas obligés d'appartenir au groupe Extensions uniquement pour afficher une extension en plein écran. Si un utilisateur n'appartient pas à ce groupe, l'extension sera exécutée avec les autorisations de cet utilisateur connecté.

Ajouter des autorisations utilisateur

Un administrateur Looker doit accorder aux utilisateurs et aux utilisateurs intégrés un ensemble d'autorisations qui inclut access_data et toutes les autorisations plus restrictives associées à cette extension. Ces autorisations doivent être appliquées à un ensemble de modèles qui inclut le ou les modèles de l'extension.

Pour accorder aux utilisateurs l'accès à l'extension, les administrateurs Looker doivent :

  1. Créez un ensemble de modèles qui inclut le modèle de l'extension ou modifiez un ensemble de modèles existant pour ajouter le modèle de l'extension.
  2. Vérifiez que les utilisateurs sont attribués à un rôle doté au moins de l'autorisation access_data (et de toute autorisation plus restrictive associée à cette extension) pour cet ensemble de modèles.

Exemple : Extension du dictionnaire de données

Le projet d'extension Data Dictionary utilise le modèle data-dictionary.

Les utilisateurs dont les rôles n'incluent pas les autorisations explore ou develop, ou dont l'accès à l'ensemble de modèles n'est pas défini sur Tous devront être accordés par un administrateur Looker afin qu'ils leur accordent les autorisations explore ou develop pour un ensemble de modèles qui inclut le modèle data-dictionary.

Par exemple, imaginons que vous souhaitiez autoriser votre équipe financière à accéder à l'extension Data Dictionnaire. L'équipe financière se voit attribuer l'ensemble de modèles Finance Team, mais elle n'accorde pas l'accès au modèle data-dictionary pour le moment:

Vue de l'ensemble de modèles de l'équipe Finance, qui contient les modèles flying_research et thelook, mais pas le modèle data-dictionary.

Pour ajouter le modèle data-dictionary à son ensemble de modèles, sélectionnez le bouton Modifier à côté de l'ensemble de modèles Finance Team, puis cochez la case du modèle data-dictionary.

Sélectionnez Mettre à jour les paramètres pour enregistrer votre sélection.

Après avoir ajouté le modèle data-dictionary à l'ensemble de modèles Finance Team, vérifiez que le rôle de l'équipe financière utilise un ensemble d'autorisations contenant des autorisations explore ou develop. Dans cet exemple, le rôle de l'équipe financière (Service financier) contient l'ensemble d'autorisations Developer, ainsi que l'ensemble de modèles Finance Team.

L'ensemble d'autorisations Developer contient à la fois les autorisations explore et develop.

Désormais, tous les utilisateurs affectés au rôle Service financier auront accès à l'extension du dictionnaire de données, car ce rôle contient les autorisations et l'accès au modèle appropriés.