Los administradores de Looker pueden gestionar lo que un usuario o un grupo de usuarios pueden ver y hacer en Looker especificando el siguiente acceso:
- Acceso al contenido: controla si un usuario o un grupo de usuarios puede ver una carpeta o gestionarla. Un usuario que puede ver una carpeta puede acceder a ella y ver las listas de los paneles de control y los Looks que contiene. Un usuario que puede gestionar una carpeta puede manipular el contenido de una carpeta (copiar, mover, eliminar y cambiar el nombre de paneles y Looks), organizar la carpeta en sí (cambiar el nombre, mover o eliminar la carpeta) y dar acceso a la carpeta a otros usuarios y grupos. El acceso al contenido lo gestionan los administradores de Looker en el panel Administrar o, si se permite, los usuarios desde la carpeta.
- Acceso a datos: controla qué datos puede ver un usuario. El acceso a los datos se gestiona principalmente mediante conjuntos de modelos, que constituyen la mitad de un rol de Looker. Estos roles se aplican a usuarios y grupos. El acceso a los datos se puede restringir aún más en un modelo mediante filtros de acceso para limitar las filas de datos que pueden ver los usuarios, como si hubiera un filtro automático en sus consultas. También puedes restringir el acceso a Exploraciones, combinaciones, vistas o campos específicos mediante concesiones de acceso.
- Acceso a funciones: controla los tipos de acciones que puede realizar un usuario en Looker, como ver datos y contenido guardado, cambiar los modelos de LookML o administrar Looker, entre otras. El acceso a las funciones se gestiona mediante conjuntos de permisos, que constituyen la otra mitad de un rol de Looker. Algunos de estos permisos se aplican a toda la instancia de Looker, como la posibilidad de ver todas las programaciones de envío de datos. La mayoría de los permisos se aplican a conjuntos de modelos específicos, como poder ver los paneles definidos por el usuario basados en esos modelos.
El acceso a los datos, a las funciones y al contenido de los usuarios y grupos se combinan para especificar lo que pueden hacer y ver los usuarios en Looker.
Usuarios y grupos
En Looker, hay usuarios individuales y grupos de usuarios. Los usuarios se gestionan en la página Usuarios del panel Administrar de Looker, mientras que los grupos se gestionan en la página Grupos del panel Administrar de Looker.
La práctica recomendada es usar grupos para evitar la tediosa tarea de asignar, ajustar y quitar controles a los usuarios de forma individual. Normalmente, la combinación de actividades que se permiten a un usuario se puede organizar haciendo que ese usuario pertenezca a uno o varios grupos. Si ninguna combinación de grupos es suficiente, puedes crear un grupo con un solo usuario, lo que te permitirá ampliarlo a más personas en el futuro. En el caso de los filtros de acceso, te recomendamos que uses atributos de usuario, ya que puedes asignar atributos de usuario a grupos.
Controlar el acceso al contenido de los usuarios
Las carpetas de Looker te permiten organizar conjuntos de paneles de control y Looks. También pueden contener otras carpetas, lo que facilita una jerarquía anidada de organización.
Las carpetas le permiten definir niveles de acceso que determinan qué usuarios pueden editar el contenido de una carpeta (como los looks y los paneles de control), ver el contenido de una carpeta y cambiar la configuración:
Un usuario debe tener al menos el nivel de acceso Ver a una carpeta para ver que existe, para ver los Looks y los paneles de control que contiene, y para copiar los Looks y los paneles de control de la carpeta.
Un usuario debe tener el nivel de acceso Gestionar acceso, Editar de una carpeta para gestionar el acceso a ella y editarla, así como su contenido (por ejemplo, cambiar el nombre de las carpetas, mover contenido y eliminar Looks y paneles de control).
Por lo demás, las carpetas no controlan lo que los usuarios pueden hacer en la plataforma Looker ni los datos que pueden usar para crear su propio contenido. Para gestionar ese nivel de acceso, consulta la sección Controlar el acceso a funciones y datos de esta página.
Las instrucciones detalladas para ajustar los niveles de acceso a las carpetas de los usuarios que consultan contenido en Looker se explican en la página de documentación Organizar y gestionar el acceso al contenido. Los administradores de Looker también pueden ajustar los niveles de acceso a las carpetas de todos los grupos y usuarios desde la página Acceso al contenido de Looker. También puedes consultar la página de documentación Diseñar y configurar un sistema de niveles de acceso para obtener información sobre el diseño de niveles de acceso en toda la instancia.
Aunque el acceso al contenido se gestiona de forma independiente del acceso a las funciones, el rol que se asigna a un usuario puede influir en si puede ver las vistas y los paneles que aparecen en una carpeta, ver una vista o un panel, o gestionar una carpeta. En la sección Cómo interactúan el acceso al contenido y los permisos de esta página se describe con más detalle cómo afecta el acceso a las funciones al acceso al contenido.
Controlar el acceso a funciones y datos
Para controlar el acceso a las funciones y los datos en Looker, normalmente se crea un grupo de usuarios (es opcional, pero recomendable) y se asigna ese grupo a un rol. Un rol vincula un conjunto de permisos con un conjunto de modelos de LookML. Los propios modelos definen qué campos y datos están disponibles.
Puedes aplicar límites de datos específicos a usuarios concretos con filtros de acceso. Además, puedes limitar el trabajo de los desarrolladores de Looker a modelos basados en bases de datos concretas mediante proyectos.
También puedes controlar el acceso a Exploraciones, combinaciones, vistas o campos específicos creando concesiones de acceso. Las concesiones de acceso limitan el acceso solo a los usuarios a los que se les han asignado valores de atributo de usuario específicos.
| Si quieres conseguirlo, | Estos son los pasos básicos que debes seguir: |
|---|---|
| Controlar las acciones que puede realizar un usuario | Crea un conjunto de permisos con los permisos adecuados y, a continuación, asigna un grupo o un usuario a un rol con ese conjunto de permisos. |
| Controlar a qué campos puede acceder un usuario | Crea un modelo con los campos adecuados y, a continuación, asigna un grupo o un usuario a un rol con ese modelo. |
| Controlar a qué datos puede acceder un usuario | Crea un modelo con las limitaciones de datos adecuadas y, a continuación, asigna un grupo o un usuario a un rol con ese modelo.- o -Usa filtros de acceso para limitar el acceso de un usuario a los datos adecuados- o -Usar atributos de usuario para proporcionar credenciales de base de datos diferentes a un grupo o usuario- o -Usar atributos de usuario con concesiones de acceso para restringir el acceso a Exploraciones, combinaciones, vistas o campos específicos |
| Controlar a qué conexiones de bases de datos puede acceder un desarrollador de Looker | Crea un proyecto con las conexiones adecuadas, asócialo a un conjunto de modelos y, a continuación, asigna un grupo o un usuario a un rol con esos modelos. |
El acceso a las funciones también puede afectar al acceso al contenido. Consulta la sección Cómo interactúan el acceso al contenido y los permisos de esta página para obtener más información sobre cómo afectan el acceso a los datos y el acceso a las funciones al acceso al contenido.
Elementos básicos que debes conocer
Roles
Un rol es una combinación de un conjunto de permisos y un conjunto de modelos. Un conjunto de permisos se compone de uno o varios permisos y define lo que puede hacer el rol. Un conjunto de modelos se compone de uno o varios modelos y define a qué modelos de LookML se aplica el rol.
Una vez que hayas creado un rol, podrás asignárselo a un usuario o a un grupo de usuarios. Si asignas algunos roles a un usuario concreto y otros roles a un grupo al que pertenece ese usuario, el usuario heredará todos esos roles en conjunto.
Algunos permisos son relevantes para toda la instancia de Looker, mientras que otros solo se aplican a los modelos del mismo rol. Consulta más información en la página de documentación sobre roles.
Proyectos
Los proyectos te permiten restringir qué conexiones de bases de datos pueden usar los modelos. De esta forma, puedes controlar con qué conjuntos de datos pueden interactuar tus desarrolladores de Looker al crear modelos. Un proyecto puede contener uno o varios modelos y se puede configurar para usar una o varias conexiones.
Esta restricción definida a través de proyectos también se aplica a SQL Runner de Looker, lo que asegura que tus desarrolladores no puedan acceder a conexiones de bases de datos prohibidas mediante SQL Runner.
Atributos de usuario
Los atributos de usuario te permiten asignar valores arbitrarios a grupos de usuarios o a usuarios concretos. Estos valores se usan como entradas en varias partes de Looker para personalizar las experiencias de cada usuario.
Una de las formas en que los atributos de usuario controlan el acceso es parametrizando las credenciales de la base de datos para que sean específicas de cada usuario. Esto solo tiene valor si tu base de datos tiene varios usuarios con diferentes niveles de acceso a los datos. Para obtener más información, consulta la página de documentación Atributos de usuario.
Otra forma en la que los atributos de usuario controlan el acceso es como parte de los filtros de acceso. Los filtros de acceso le permiten utilizar uno o varios atributos de usuario como filtro de datos. Por ejemplo, puede asignar un nombre de empresa a cada usuario y, a continuación, asegurarse de que el contenido que vea se filtre por ese nombre. Para obtener una descripción de cómo aplicar filtros de acceso, consulta la página de documentación Atributos de usuario y la página de documentación del parámetro access_filter.
Los atributos de usuario también controlan las concesiones de acceso. Una concesión de acceso especifica un atributo de usuario y define los valores permitidos en ese atributo de usuario para conceder acceso a una Exploración, una combinación, una vista o un campo. A continuación, usa el parámetro required_access_grants en el nivel Explorar, join, vista o campo para restringir el acceso a esas estructuras de LookML solo a los usuarios que tengan los valores de atributo de usuario permitidos. Por ejemplo, puedes usar una concesión de acceso para limitar el acceso a la dimensión salary solo a los usuarios que tengan el valor payroll en su atributo de usuario department. Para obtener una descripción de cómo definir las concesiones de acceso, consulta la página de documentación del parámetro access_grant.
Usar los elementos de creación
Controlar el acceso a las funciones
Los permisos controlan los tipos de actividades que pueden realizar los usuarios o grupos. Un usuario puede obtener permisos de las siguientes formas:
- La práctica recomendada es identificar uno o varios grupos de usuarios que deban tener un conjunto de permisos y crear un grupo si es necesario. Si quieres, puedes dar permisos a usuarios concretos.
- Crea un conjunto de permisos que contenga los permisos adecuados.
- Si algunos de los permisos que se van a asignar son específicos de un modelo, cree o identifique un conjunto de modelos.
- Crea un rol que combine el conjunto de permisos y, si es necesario, el conjunto de modelos.
- Asigna el rol desde la página Roles. Una vez que se haya creado el rol, también puedes asignarlo a un usuario en la página Usuarios.
Puedes asignar varios roles a un usuario o a un grupo. En ese caso, los usuarios tendrán todos los permisos de todos los roles que tengan. Por ejemplo:
- El rol 1 permite ver los paneles de control del modelo 1.
- El rol 2 permite ver paneles de control y explorar el modelo 2.
Si asignas ambos roles al mismo grupo de usuarios, podrán ver los paneles de control de Model1 y Model2, pero solo podrán explorar en Model2.
Controlar el acceso de los usuarios a los campos de Looker
Los campos con los que puede trabajar un usuario están controlados por los modelos a los que puede acceder. Para que un usuario pueda acceder a un campo, debe hacer lo siguiente:
- Crea un modelo de LookML (o una combinación de modelos de LookML) que contenga solo los campos a los que debería tener acceso un usuario.
- Vaya a Administración > Usuarios > Roles.
- En la página Roles, cree un conjunto de modelos que contenga esos modelos y, a continuación, asígnelo a un rol.
- Para trabajar con grupos de usuarios, lo que se considera una práctica recomendada, crea un grupo en la página Grupos de Looker. A continuación, asigna ese grupo a los roles correspondientes en la página Roles.
- Para trabajar con usuarios concretos, asígnale roles desde la página Usuarios o desde la página Roles.
Puedes asignar varios roles a un usuario o a un grupo. Los usuarios pueden trabajar con todos los modelos de todos los roles que tengan.
Es importante tener en cuenta que el parámetro hidden de los campos se ha diseñado para crear experiencias más limpias para los usuarios, no para controlar el acceso a los campos. El parámetro hidden oculta los campos del selector de campos, pero no impide que un usuario utilice ese campo. Si alguien les envía un enlace que usa ese campo, podrán verlo, y el campo seguirá apareciendo en otros lugares de Looker.
Controlar el acceso de los usuarios a los datos
Hay varias formas de controlar el acceso de un usuario a los datos, en función del caso práctico:
- Para impedir que los usuarios vean determinadas columnas de datos, controla los campos a los que pueden acceder, tal como se describe en la sección Controlar el acceso de los usuarios a los campos de Looker. Mientras un usuario no pueda desarrollar ni usar SQL Runner, estará limitado por los campos a los que tenga acceso.
- Para impedir que los usuarios vean determinadas filas de datos, aplique campos de filtro de acceso, tal como se describe en la página de documentación del parámetro
access_filter. - Para limitar el acceso a Exploraciones, combinaciones, vistas o campos específicos, crea concesiones de acceso que limiten el acceso solo a los usuarios a los que se les hayan asignado los valores de atributo de usuario permitidos, tal como se describe en la página de documentación del parámetro
access_grant. - Para limitar los usuarios de Looker a ejecutar consultas en un usuario de base de datos específico, que tu equipo de bases de datos ha configurado para limitar el acceso a los datos, usa atributos de usuario. Te permiten parametrizar la conexión de tu base de datos para que un grupo de usuarios o usuarios concretos ejecuten sus consultas con credenciales de base de datos específicas. También deberías limitar el acceso de los usuarios a los campos de Looker adecuados. Si no lo haces, el usuario de Looker puede intentar consultar un campo al que no tenga acceso el usuario de la base de datos y recibirá un error.
Al igual que el parámetro de campo hidden no está diseñado para controlar el acceso a los campos, el parámetro hidden de las Exploraciones no impide que todos los usuarios vean una Exploración. El parámetro hidden elimina la Exploración del menú Exploraciones, pero si un usuario ha guardado contenido que hace referencia a una Exploración oculta, seguirá teniendo acceso a los datos de la Exploración.
Si usas la inserción firmada, asegúrate de configurar los controles de acceso a los datos a través de la URL de inserción firmada.
Controlar el acceso de los desarrolladores a las conexiones de bases de datos
A diferencia de los usuarios normales, los desarrolladores de Looker no están totalmente limitados por los modelos y los filtros de acceso, ya que pueden añadir o modificar modelos de LookML. Sin embargo, los administradores pueden limitar el acceso de los desarrolladores de Looker a determinadas conexiones de bases de datos mediante proyectos. Para ello:
- Crea un proyecto que limite un número determinado de modelos a un número determinado de conexiones de bases de datos. Para ello, ve a la página Gestionar proyectos de Looker.
- Vaya a Administración > Usuarios > Roles.
- En la página Roles, cree un conjunto de modelos que contenga al menos uno de los modelos del proyecto y, a continuación, asígnelo a un rol.
- Para trabajar con grupos de usuarios, lo que se considera una práctica recomendada, crea un grupo en la página Grupos de Looker. A continuación, asigna ese grupo a los roles correspondientes en la página Roles.
- Para trabajar con usuarios concretos, asígnale roles desde la página Usuarios o desde la página Roles.
Si un desarrollador de Looker puede ver cualquier modelo que forme parte de un proyecto, podrá ver todos los modelos que formen parte de ese proyecto. Por ejemplo, esto podría ocurrir si asigna un desarrollador de Looker a un rol con un solo modelo, pero ese modelo forma parte de un proyecto que contiene otros modelos.
Cómo interactúan el acceso y los permisos de contenido
El acceso al contenido lo gestionan los usuarios cuando ven una carpeta o un administrador de Looker en la página Acceso al contenido del panel Administrar. Los roles asignados a un usuario determinan el acceso de ese usuario a las funciones y a los datos. Esto afecta a lo que el usuario puede hacer en una carpeta y a si puede ver las vistas y los paneles de control.
Ver datos en Looks y paneles de control
Para ver los datos de un Look o un panel de control, el usuario debe tener al menos acceso de Ver a la carpeta en la que se almacena el contenido.
Los usuarios deben tener los permisos access_data y see_looks para seleccionar un Look y ver sus datos. Los usuarios deben tener los permisos access_data y see_user_dashboards para seleccionar un panel de control y ver sus datos.
Para ver los datos de un look o de una baldosa de un panel de control, el usuario debe tener acceso a esos datos. Si no se concede el acceso a los datos necesarios:
- Aunque el usuario pueda ver un Look en una carpeta y acceder a él, la consulta del Look no se ejecuta y el usuario no puede ver los datos del Look.
- Aunque el usuario pueda ver un panel de control en una carpeta y acceder a él, cualquier baldosa a la que no tenga acceso se mostrará en blanco. Si un panel de control tiene baldosas creadas a partir de varios modelos, un usuario podrá ver las baldosas asociadas a los modelos a los que tenga acceso, mientras que las baldosas de otros modelos mostrarán un error.
Por ejemplo, un usuario que tenga acceso de Ver a una carpeta, acceso a los datos subyacentes de todos los Looks de la carpeta y los permisos access_data y see_looks puede ver una lista de todos los Looks de la carpeta y también puede verlos. Si este usuario no tiene acceso para ver LookML ni los paneles de control definidos por el usuario, no verá ningún panel de control que pueda haber en la carpeta.
Ver una carpeta y listas de Looks y paneles
Un usuario necesita al menos el nivel de acceso Ver a una carpeta para verla y consultar la lista de contenido almacenado en ella.
Los usuarios que también tengan al menos permiso see_looks pueden ver los títulos de los Looks de la carpeta. Los usuarios que también tengan al menos permiso see_user_dashboards pueden ver los títulos de los paneles de control de la carpeta. Sin embargo, esto no implica que puedan ver los datos de los Looks o los paneles de control.
Por ejemplo, un usuario que tenga el permiso see_looks, pero no el permiso access_data, puede ver los títulos de los Looks, pero no los datos de los Looks.
Los usuarios que tengan el permiso access_data, pero no tengan el permiso see_looks ni el see_user_dashboards, no podrán ver ninguna carpeta ni ningún contenido.
Modificar una carpeta
Un usuario debe tener el nivel de acceso Gestionar acceso, Editar de una carpeta para poder organizarla, lo que incluye copiar y mover contenido, cambiar el nombre y mover carpetas, y otras acciones similares. Los usuarios también deben tener el permiso manage_spaces para crear, editar, mover y eliminar carpetas.
Aprovechar tu infraestructura de permisos de usuario (LDAP, SAML y OpenID Connect)
Si ya tienes configurada una infraestructura LDAP, SAML u OpenID, puedes usar ese sistema para gestionar los inicios de sesión de los usuarios. Las instrucciones para configurar LDAP se encuentran en la página Autenticación LDAP. Las instrucciones para configurar SAML se encuentran en la página de documentación sobre la autenticación SAML. Las instrucciones para configurar OpenID Connect se encuentran en la página de documentación sobre la autenticación con OpenID Connect.
Si has configurado grupos en tu implementación de LDAP, SAML u OpenID Connect, también puedes usar esos grupos en Looker. Sin embargo, hay algunos aspectos que debes tener en cuenta:
- Los grupos que hayas creado se transferirán automáticamente a Looker y estarán visibles en la página Grupos. Se creará un grupo de Looker por cada grupo de LDAP, SAML u OpenID Connect, y el nombre del grupo de Looker será el mismo que el del grupo de LDAP, SAML u OpenID Connect.
- Podrás usar estos grupos de Looker para asignar niveles de acceso a carpetas y atributos de usuario a los miembros de los grupos.
- No podrás usar grupos de Looker para configurar roles como lo harías con un grupo creado manualmente. En su lugar, asignará sus grupos de LDAP, SAML u OpenID Connect a los roles de Looker durante el proceso de configuración y solo podrá cambiar los roles asignados desde las páginas de configuración de LDAP, SAML u OpenID Connect. Hemos adoptado este enfoque para que tus grupos de LDAP, SAML u OpenID Connect sigan siendo tu única fuente de información fiable. Sin esta restricción, la asignación de grupos a roles podría desviarse de su función prevista en tu esquema LDAP, SAML u OpenID Connect.
También puedes usar LDAP para aplicar conexiones de bases de datos específicas de usuarios a las consultas de Looker, tal como se describe en la página de documentación sobre la autenticación LDAP.