Control de acceso y administración de permisos

Los administradores de Looker pueden administrar lo que un usuario o un grupo de usuarios pueden ver y hacer en Looker especificando el siguiente acceso:

• Acceso al contenido, que controla si un usuario o grupo de usuarios puede ver una carpeta o administrarla Un usuario que puede ver una carpeta puede navegar a ella y ver las listas de los paneles y las Looks que contiene. Un usuario que puede administrar una carpeta puede manipular el contenido de una carpeta (copiar, mover, borrar y cambiar el nombre de los paneles y las vistas), organizar la carpeta en sí (cambiar el nombre, mover o borrar la carpeta) y dar acceso a la carpeta a otros usuarios y grupos. Los administradores de Looker controlan el acceso al contenido en el panel Administrador o, si se permite, los usuarios individuales desde la carpeta.
• Acceso a los datos, que controla qué datos puede ver un usuario El acceso a los datos se administra principalmente con los conjuntos de modelos, que constituyen la mitad de un rol de Looker. Luego, estos roles se aplican a usuarios y grupos. El acceso a los datos se puede restringir aún más dentro de un modelo con filtros de acceso para limitar las filas de datos que pueden ver, como si hubiera un filtro automático en sus consultas. También puedes restringir el acceso a Explorar, uniones, vistas o campos específicos con otorgamientos de acceso.
• Acceso a funciones, que controla los tipos de acciones que un usuario puede realizar en Looker, como ver datos y contenido guardado, cambiar los modelos de LookML, administrar Looker, etcétera El acceso a las funciones se administra a través de los conjuntos de permisos, que constituyen la otra mitad de un rol de Looker. Algunos de estos permisos se aplican a toda la instancia de Looker, como la capacidad de ver todos los programas para enviar datos. La mayoría de los permisos se aplican a conjuntos de modelos específicos, como poder ver los paneles definidos por el usuario en función de esos modelos.

El acceso a los datos, el acceso a las funciones y el acceso al contenido para usuarios y grupos se combinan para especificar lo que los usuarios pueden hacer y ver en Looker.

Usuarios y grupos

En Looker, hay usuarios individuales y grupos de usuarios. Los usuarios se administran en la página Usuarios del panel de Administrador de Looker, mientras que los grupos se administran en la página Grupos del panel de Administrador de Looker.

La práctica recomendada es usar grupos para evitar la tediosa tarea de asignar, ajustar y quitar controles para los usuarios de forma individual. Por lo general, la combinación de actividades que se le permite a un usuario se puede organizar haciendo que ese usuario pertenezca a uno o más grupos. Si ninguna combinación de grupos es suficiente, considera crear un grupo con un solo usuario, lo que te permitirá expandir ese grupo a más personas en el futuro. Para los filtros de acceso, considera usar atributos de usuario, ya que puedes asignarlos a grupos.

Controla el acceso al contenido de los usuarios

Las carpetas de Looker te permiten organizar conjuntos de paneles y Looks. También pueden contener otras carpetas, lo que facilita una jerarquía anidada de organización.

Las carpetas te permiten establecer niveles de acceso que determinan qué usuarios pueden editar el contenido de las carpetas (como Looks y paneles), ver el contenido de una carpeta y cambiar la configuración:

• Un usuario debe tener al menos el nivel de acceso Ver a una carpeta para ver que existe, ver las Looks y los paneles que contiene, y copiar las Looks y los paneles de la carpeta.

• Un usuario debe tener el nivel de acceso Administrar acceso, Editar para una carpeta si desea administrar el acceso a ella y editarla, así como su contenido (incluido cambiar el nombre de las carpetas, mover contenido y borrar Looks y paneles).

De lo contrario, las carpetas no controlan lo que los usuarios pueden hacer en la plataforma de Looker ni los datos que pueden usar para crear su propio contenido. Para administrar ese nivel de acceso, consulta la sección Control del acceso a funciones y datos en esta página.

En nuestra página de documentación Organiza y administra el acceso al contenido, se explican las instrucciones paso a paso para ajustar los niveles de acceso a las carpetas de los usuarios que exploran contenido en Looker. Los administradores de Looker también pueden ajustar los niveles de acceso a las carpetas para todos los grupos y usuarios desde la página Acceso al contenido de Looker. También puedes consultar la página de documentación Diseño y configuración de un sistema de niveles de acceso para obtener información sobre el diseño de niveles de acceso en toda la instancia.

Si bien el acceso al contenido se administra por separado del acceso a las funciones, el rol que se asigna a un usuario puede afectar si puede ver los Looks y los paneles que se muestran en una carpeta, ver un Look o un panel, o administrar una carpeta. En la sección Cómo interactúan el acceso al contenido y los permisos de esta página, se describe con más detalle cómo el acceso a las funciones afecta el acceso al contenido.

Control del acceso a funciones y datos

Para controlar el acceso a las funciones y los datos en Looker, por lo general, se crea un grupo de usuarios (esto es opcional, pero se recomienda) y se le asigna un rol. Un rol vincula un conjunto de permisos con un conjunto de modelos de LookML. Los modelos definen qué campos y datos están disponibles.

Puedes aplicar límites de datos específicos a usuarios específicos con filtros de acceso. Además, puedes limitar a los desarrolladores de Looker para que trabajen con modelos basados en bases de datos específicas usando proyectos.

También puedes controlar el acceso a Explorar, uniones, vistas o campos específicos creando otorgamientos de acceso. Los otorgamientos de acceso limitan el acceso solo a los usuarios a los que se les asignaron valores específicos de atributo del usuario.

Si quieres lograr esto, haz lo siguiente:	Estos son los pasos básicos que seguirás…
Controla las acciones que puede realizar un usuario	Crea un conjunto de permisos con los permisos adecuados y, luego, asigna un grupo o usuario a un rol con ese conjunto de permisos.
Controla a qué campos puede acceder un usuario	Crea un modelo con los campos adecuados y, luego, asigna un grupo o usuario a un rol con ese modelo
Controla a qué datos puede acceder un usuario	Crea un modelo con las limitaciones de datos adecuadas y, luego, asigna un grupo o usuario a un rol con ese modelo. - o - Usa filtros de acceso para limitar el acceso de un usuario a los datos adecuados. - o - Usa atributos del usuario para proporcionar diferentes credenciales de base de datos a un grupo o usuario - o - Usa atributos del usuario con otorgamientos de acceso para restringir el acceso a Explorar, uniones, vistas o campos específicos.
Controla a qué conexiones de bases de datos puede acceder un desarrollador de Looker	Crea un proyecto con las conexiones adecuadas, asócialo a un conjunto de modelos y, luego, asigna un grupo o usuario a un rol con esos modelos.

El acceso a las funciones también puede afectar el acceso al contenido. Consulta la sección Cómo interactúan el acceso y los permisos de contenido de esta página para obtener más detalles sobre cómo el acceso a los datos y el acceso a las funciones afectan el acceso al contenido.

Componentes básicos que debes comprender

Funciones

Un rol es una combinación de un conjunto de permisos y un conjunto de modelos. Un conjunto de permisos se compone de uno o más permisos y define lo que puede hacer el rol. Un conjunto de modelos se compone de uno o más modelos y define a qué modelos de LookML se aplica el rol.

Después de crear un rol, puedes asignarle un usuario individual o un grupo de usuarios. Si agregas algunos roles a un usuario individual y otros roles a un grupo al que pertenece el usuario, este heredará todos esos roles combinados.

Algunos permisos son relevantes para toda tu instancia de Looker, mientras que otros solo se aplican a los modelos dentro del mismo rol. Consulta la página de documentación sobre los roles para obtener más información.

Proyectos

Los proyectos te permiten restringir qué conexiones de bases de datos pueden usar qué modelos. Esto puede ayudarte a controlar con qué conjuntos de datos pueden interactuar tus desarrolladores de Looker cuando crean modelos. Un proyecto puede contener uno o más modelos, y se puede configurar para usar una o más conexiones.

Esta restricción definida a través de proyectos también se aplica al Ejecutor de SQL de Looker, lo que garantiza que tus desarrolladores no puedan acceder a conexiones de bases de datos prohibidas con el Ejecutor de SQL.

Atributos de usuario

Los atributos del usuario te permiten asignar valores arbitrarios a grupos de usuarios o usuarios individuales. Luego, estos valores se usan como entradas para varias partes de Looker, lo que permite personalizar las experiencias para cada usuario.

Una forma en que los atributos del usuario controlan el acceso es parametrizando las credenciales de la base de datos para que sean específicas de cada usuario. Esto solo tiene valor si tu base de datos tiene varios usuarios con diferentes niveles de acceso a los datos. Consulta la página de documentación Atributos del usuario para obtener más información.

Otra forma en que los atributos del usuario controlan el acceso es como parte de los filtros de acceso. Los filtros de acceso te permiten utilizar uno o más atributos del usuario como filtro de datos. Por ejemplo, es posible que desees asignar a cada usuario un nombre de empresa y, luego, asegurarte de que todo el contenido que vea se filtre por ese nombre. Para obtener una descripción de cómo aplicar filtros de acceso, consulta la página de documentación Atributos del usuario y la página de documentación del parámetro access_filter.

Los atributos del usuario también controlan los otorgamientos de acceso. Un otorgamiento de acceso especifica un atributo del usuario y define los valores permitidos en ese atributo del usuario para otorgar acceso a un Explorar, una unión, una vista o un campo. Luego, usas el parámetro required_access_grants a nivel de Explorar, unión, vista o campo para restringir el acceso a esas estructuras de LookML solo a los usuarios que tienen los valores de atributos de usuario permitidos. Por ejemplo, puedes usar un otorgamiento de acceso para limitar el acceso a la dimensión salary solo a los usuarios que tienen el valor payroll en su atributo de usuario department. Para obtener una descripción de cómo definir las concesiones de acceso, consulta la página de documentación del parámetro access_grant.

Cómo usar los componentes básicos

Controla el acceso a las funciones

Los permisos controlan los tipos de actividades que puede realizar un usuario o un grupo. Un usuario puede obtener permisos de las siguientes maneras:

1. La práctica recomendada es identificar uno o más grupos de usuarios que deberían tener un conjunto de permisos y crear un grupo si es necesario. Si lo deseas, puedes otorgar permisos a usuarios individuales.
2. Crea un conjunto de permisos que contenga los permisos adecuados.
3. Si algunos de los permisos que se asignarán son específicos del modelo, crea o identifica un conjunto de modelos existente.
4. Crea un rol que combine el conjunto de permisos y, si es necesario, el conjunto de modelos.
5. Asigna el rol desde la página Roles. Una vez que existe el rol, también puedes asignárselo a un usuario en la página Usuarios.

Puedes asignar varios roles a un usuario o grupo. En ese caso, los usuarios tendrán todos los permisos de todos los roles que tengan. Por ejemplo:

• El rol 1 permite ver los paneles en el modelo 1.
• El rol2 permite ver paneles y explorar en Model2.

Si asignas ambos roles al mismo grupo de usuarios, estos podrán ver los paneles en Model1 y Model2, pero solo podrán explorar en Model2.

Controla el acceso de los usuarios a los campos de Looker

Los campos con los que puede trabajar un usuario se controlan mediante los modelos a los que puede acceder. Así es como un usuario puede obtener acceso a los campos:

1. Crea un modelo de LookML (o una combinación de modelos de LookML) que contenga solo los campos a los que un usuario debería tener acceso.
2. Ve a Administrador > Usuarios > Roles.
3. En la página Roles, crea un conjunto de modelos que contenga esos modelos y, luego, asígnalo a un rol.
4. Para trabajar con grupos de usuarios, lo que generalmente se considera una práctica recomendada, crea un grupo en la página Groups de Looker. Luego, asigna ese grupo a los roles correspondientes en la página Roles.
5. Para trabajar con usuarios individuales, asígnales roles desde la página Usuarios o la página Roles.

Puedes asignar varios roles a un usuario o grupo. Luego, los usuarios pueden trabajar con todos los modelos de todos los roles que tienen.

Es importante tener en cuenta que el parámetro hidden para los campos está diseñado para crear experiencias más limpias para los usuarios, no para controlar el acceso a los campos. El parámetro hidden oculta los campos del selector de campos, pero no impedirá que un usuario use ese campo. Si alguien le envía un vínculo que usa ese campo, podrá verlo, y otros lugares en Looker seguirán mostrando el campo.

Controla el acceso de los usuarios a los datos

Existen varias formas de controlar el acceso de un usuario a los datos, según el caso de uso:

• Para prohibir que los usuarios vean ciertas columnas de datos, controla los campos a los que pueden acceder, como se describe en la sección Controla el acceso de los usuarios a los campos de Looker. Mientras un usuario no pueda desarrollar ni usar SQL Runner, estará limitado por los campos a los que tenga acceso.
• Para prohibir que los usuarios vean ciertas filas de datos, aplica campos de filtro de acceso, como se describe en la página de documentación del parámetro access_filter.
• Para limitar el acceso a Explorar, uniones, vistas o campos específicos, crea permisos de acceso que limiten el acceso solo a los usuarios a los que se les asignaron los valores de atributos de usuario permitidos, como se describe en la página de documentación del parámetro access_grant.
• Para limitar a los usuarios de Looker a ejecutar consultas en un usuario de base de datos específico, que tu equipo de bases de datos configuró para limitar el acceso a los datos, usa atributos del usuario. Te permiten parametrizar tu conexión a la base de datos para que un grupo de usuarios o usuarios individuales ejecuten sus consultas con credenciales de base de datos específicas. También debes considerar limitar a los usuarios a los campos de Looker adecuados. Si no lo haces, es posible que el usuario de Looker intente consultar un campo al que no tiene acceso su usuario de la base de datos y recibirá un error.

Al igual que el parámetro de campo hidden no está diseñado para controlar el acceso a los campos, el parámetro hidden para Explorar no impide que todos los usuarios vean una exploración. El parámetro hidden quita la función Explorar del menú Explorar, pero, si un usuario guardó contenido que hace referencia a una función Explorar oculta, seguirá teniendo acceso a los datos de la función Explorar.

Si utilizas la incorporación firmada, asegúrate de configurar los controles de acceso a los datos a través de la URL de incorporación firmada.

Controla el acceso de los desarrolladores a las conexiones de bases de datos

A diferencia de los usuarios habituales, los desarrolladores de Looker no están completamente limitados por los modelos y los filtros de acceso, ya que pueden agregar o cambiar modelos de LookML. Sin embargo, los administradores pueden limitar el acceso de los desarrolladores de Looker a ciertas conexiones de bases de datos con proyectos. Para ello, deberás hacer lo siguiente:

1. Crea un proyecto que restrinja una cierta cantidad de modelos a una cierta cantidad de conexiones de bases de datos. Esto se hace en la página Administrar proyectos de Looker.
2. Ve a Administrador > Usuarios > Roles.
3. En la página Roles, crea un conjunto de modelos que contenga al menos uno de los modelos del proyecto y, luego, asígnale un rol.
4. Para trabajar con grupos de usuarios, lo que generalmente se considera una práctica recomendada, crea un grupo en la página Groups de Looker. Luego, asigna ese grupo a los roles correspondientes en la página Roles.
5. Para trabajar con usuarios individuales, asígnales roles desde la página Usuarios o la página Roles.

Si un desarrollador de Looker puede ver cualquier modelo que forme parte de un proyecto, podrá ver todos los modelos que formen parte de ese proyecto. Por ejemplo, esto podría suceder si asignaste un desarrollador de Looker a un rol con solo un modelo, pero ese modelo resultó ser parte de un proyecto que contenía otros modelos.

Cómo interactúan el acceso y los permisos de contenido

Los usuarios administran el acceso al contenido cuando ven una carpeta, o bien un administrador de Looker lo administra en la página Acceso al contenido del panel Administrador. Los roles que se asignan a un usuario determinan su acceso a las funciones y los datos. Esto afecta lo que el usuario puede hacer en una carpeta y si puede ver Looks y paneles.

Cómo visualizar datos en Vistas y paneles

Para ver los datos de un Look o un panel, el usuario debe tener, al menos, acceso de Visualización a la carpeta en la que se almacena el contenido.

Los usuarios deben tener los permisos access_data y see_looks para seleccionar un Look y ver sus datos. Los usuarios deben tener los permisos access_data y see_user_dashboards para seleccionar un panel y ver sus datos.

Para ver los datos en una tarjeta de Look o de panel, el usuario debe tener acceso a esos datos. Sin el acceso a los datos necesarios:

• Incluso si el usuario puede ver un Look en una carpeta y navegar hasta él, no se ejecuta la consulta del Look y el usuario no puede ver sus datos.
• Incluso si el usuario puede ver un panel que aparece en una carpeta y navegar hasta él, cualquier tarjeta a la que no tenga acceso se mostrará en blanco. Si un panel tiene tarjetas creadas a partir de varios modelos, el usuario podrá ver las tarjetas asociadas con los modelos a los que tiene acceso, y las tarjetas de otros modelos mostrarán un error.

Por ejemplo, un usuario que tiene acceso de lectura a una carpeta, acceso a los datos subyacentes de todas las Looks de la carpeta y permisos de access_data y see_looks puede ver una lista de todas las Looks de la carpeta y también puede ver esas Looks. Si este usuario no tiene acceso para ver LookML ni paneles definidos por el usuario, no verá ningún panel que pueda existir en la carpeta.

Cómo ver una carpeta y listas de Looks y paneles

Un usuario necesita al menos el nivel de acceso Ver a una carpeta para verla y consultar la lista de contenido almacenado en ella.

Los usuarios que también tienen, al menos, permiso de see_looks pueden ver los títulos de los Looks en la carpeta. Los usuarios que también tengan, al menos, permiso de see_user_dashboards pueden ver los títulos de los paneles en la carpeta. Sin embargo, esto no implica que puedan ver los datos de los Looks o los paneles.

Por ejemplo, un usuario que tiene el permiso see_looks, pero no tiene el permiso access_data, puede ver los títulos de los Looks, pero no los datos de estos.

Los usuarios que tienen el permiso access_data, pero no tienen el permiso see_looks ni el see_user_dashboards, no podrán ver ninguna carpeta ni contenido.

Cómo modificar una carpeta

Un usuario debe tener el nivel de acceso Administrar acceso, Editar para una carpeta si desea organizarla, lo que incluye copiar y mover contenido, cambiar el nombre y mover carpetas, y acciones similares. Los usuarios también deben tener el permiso manage_spaces para crear, editar, mover y borrar carpetas.

Uso de tu infraestructura de permisos de usuario (LDAP, SAML y OpenID Connect)

Si ya tienes una infraestructura de LDAP, SAML o OpenID configurada, puedes usar ese sistema para administrar los accesos de los usuarios. Las instrucciones para configurar LDAP se encuentran en la página Autenticación con LDAP. Las instrucciones para configurar SAML se encuentran en la página de documentación de autenticación de SAML. Las instrucciones para configurar OpenID Connect se encuentran en la página de documentación Autenticación de OpenID Connect.

Si configuraste grupos en tu implementación de LDAP, SAML o OpenID Connect, también puedes usar esos grupos en Looker. Sin embargo, debes tener en cuenta lo siguiente:

• Los grupos que creaste se transfieren automáticamente a Looker y se mostrarán en la página Grupos. Se creará un grupo de Looker para cada grupo de LDAP, SAML o OpenID Connect, y el nombre del grupo de Looker reflejará el nombre del grupo de LDAP, SAML o OpenID Connect.
• Podrás usar estos grupos de Looker para asignar niveles de acceso a las carpetas y atributos de usuario a los miembros de los grupos.
• No podrás usar grupos de Looker para configurar roles como lo harías con un grupo creado manualmente. En su lugar, asignarás tus grupos de LDAP, SAML o OpenID Connect a los roles de Looker durante el proceso de configuración y solo podrás cambiar los roles asignados desde las páginas de configuración de LDAP, SAML o OpenID Connect. Exigimos este enfoque para que tus grupos de LDAP, SAML o OpenID Connect sigan siendo tu única fuente de información. Sin esta restricción, la asignación de grupos a roles podría desviarse de su función prevista en tu esquema de LDAP, SAML o OpenID Connect.

También puedes usar LDAP para aplicar conexiones de bases de datos específicas del usuario a las consultas de Looker, como se describe en la página de documentación de la autenticación LDAP.