Admin Looker dapat mengelola hal yang dapat dilihat dan dilakukan oleh pengguna atau grup pengguna di Looker dengan menentukan akses berikut:
- Akses Konten, yang mengontrol apakah pengguna atau grup pengguna dapat melihat folder atau mengelola folder. Pengguna yang dapat melihat folder dapat membuka folder tersebut dan melihat daftar dasbor serta Look di folder. Pengguna yang dapat mengelola folder dapat memanipulasi konten folder (menyalin, memindahkan, menghapus, serta mengganti nama dasbor dan Tampilan), mengatur folder itu sendiri (mengganti nama, memindahkan, atau menghapus folder), dan memberikan akses ke folder kepada pengguna dan grup lain. Akses konten dikelola oleh admin Looker di panel Admin atau, jika diizinkan, oleh masing-masing pengguna dari dalam folder.
- Akses Data, yang mengontrol data mana yang dapat dilihat oleh pengguna. Akses data sebagian besar dikelola melalui Set Model, yang membentuk setengah dari peran Looker. Peran ini kemudian diterapkan ke pengguna dan grup. Akses data dapat dibatasi lebih lanjut dalam model menggunakan filter akses untuk membatasi baris data yang dapat dilihat, seolah-olah ada filter otomatis pada kuerinya. Anda juga dapat membatasi akses ke Jelajah, gabungan, tampilan, atau kolom tertentu menggunakan pemberian akses.
- Akses Fitur, yang mengontrol jenis tindakan yang diizinkan untuk dilakukan pengguna di Looker, termasuk melihat data dan konten yang tersimpan, mengubah model LookML, mengelola Looker, dan sebagainya. Akses fitur dikelola oleh Set Izin, yang merupakan separuh dari peran Looker lainnya. Beberapa izin ini berlaku untuk seluruh instance Looker, seperti dapat melihat semua jadwal untuk mengirim data. Sebagian besar izin diterapkan ke kumpulan model tertentu, seperti dapat melihat dasbor buatan pengguna berdasarkan model tersebut.
Akses data, akses fitur, dan akses konten untuk pengguna dan grup digabungkan untuk menentukan apa yang dapat dilakukan dan dilihat pengguna di Looker.
Pengguna dan grup
Di Looker, terdapat pengguna perorangan dan kelompok pengguna. Pengguna dikelola di halaman Pengguna pada panel Admin Looker, sedangkan grup dikelola di halaman Grup pada panel Admin Looker.
Praktik terbaiknya adalah menggunakan grup untuk menghindari kebosanan dalam menetapkan, menyesuaikan, dan menghapus kontrol untuk setiap pengguna. Biasanya, kombinasi aktivitas yang memungkinkan pengguna dapat diatur dengan menetapkan pengguna tersebut ke dalam satu atau beberapa grup. Jika tidak ada kombinasi grup yang cukup, pertimbangkan untuk membuat grup hanya dengan satu pengguna, yang memungkinkan Anda berpotensi memperluas grup tersebut ke lebih banyak orang di masa mendatang. Untuk filter akses, pertimbangkan untuk menggunakan atribut pengguna karena Anda dapat menetapkan atribut pengguna ke grup.
Mengontrol akses konten pengguna
Folder Looker memungkinkan Anda mengatur kumpulan dasbor dan Look. Folder juga dapat berisi folder lain, yang memfasilitasi hierarki organisasi bertingkat.
Folder memungkinkan Anda menetapkan tingkat akses yang menentukan pengguna mana yang dapat mengedit konten folder (seperti Tampilan dan dasbor), melihat konten dalam folder, dan mengubah setelan:
Pengguna harus memiliki setidaknya tingkat akses Tampilan ke folder untuk melihat apakah folder tersebut ada, untuk melihat Tampilan dan dasbor di dalamnya, serta menyalin Tampilan dan dasbor di folder.
Pengguna harus memiliki tingkat akses Kelola Akses, Edit untuk folder agar dapat mengelola akses ke folder tersebut dan mengedit folder serta kontennya (termasuk mengganti nama folder, memindahkan konten, serta menghapus Tampilan dan dasbor).
Folder tidak mengontrol hal yang dapat dilakukan pengguna di platform Looker, atau data mana yang dapat mereka gunakan untuk membuat konten mereka sendiri. Untuk mengelola tingkat akses tersebut, lihat bagian Fitur Kontrol dan Akses Data di halaman ini.
Petunjuk langkah demi langkah untuk menyesuaikan tingkat akses folder bagi pengguna yang menjelajahi konten di Looker dibahas di halaman dokumentasi Mengatur dan mengelola akses ke konten. Admin Looker juga dapat menyesuaikan tingkat akses folder untuk semua grup dan pengguna dari halaman Akses Konten di Looker. Anda juga dapat melihat halaman dokumentasi Mendesain dan mengonfigurasi sistem tingkat akses untuk mengetahui informasi tentang desain tingkat akses seluruh instance.
Meskipun akses konten dikelola secara terpisah dari akses fitur, peran yang ditetapkan kepada pengguna dapat memengaruhi apakah dia dapat melihat Tampilan dan dasbor yang tercantum dalam folder, melihat Tampilan atau dasbor, atau mengelola folder. Bagian Cara akses dan izin konten berinteraksi di halaman ini menjelaskan bagaimana akses fitur memengaruhi akses konten secara lebih mendetail.
Mengontrol akses data dan fitur
Untuk mengontrol akses fitur dan data di Looker, Anda biasanya membuat grup pengguna (tindakan ini bersifat opsional, tetapi direkomendasikan) dan menetapkan grup tersebut ke peran. Peran menghubungkan kumpulan izin dengan kumpulan model LookML. Model itu sendiri menentukan kolom dan data yang tersedia.
Anda dapat menerapkan batas data tertentu untuk pengguna tertentu dengan filter akses. Selain itu, Anda dapat membatasi developer Looker untuk menggunakan model berdasarkan database tertentu menggunakan project.
Anda juga dapat mengontrol akses ke Jelajah, gabungan, tampilan, atau kolom tertentu dengan membuat pemberian akses. Akses memberikan akses batas hanya kepada pengguna yang telah diberi nilai atribut pengguna tertentu.
Jika Anda ingin mencapai hal ini ... | Berikut adalah langkah-langkah dasar yang perlu Anda lakukan ... |
---|---|
Mengontrol tindakan yang dapat dilakukan pengguna | Buat kumpulan izin dengan izin yang sesuai, lalu tetapkan grup atau pengguna ke peran dengan kumpulan izin tersebut |
Mengontrol kolom yang dapat diakses pengguna | Buat model dengan kolom yang sesuai, lalu tetapkan grup atau pengguna pada peran dengan model tersebut |
Mengontrol data yang dapat diakses pengguna | Buat model dengan batasan data yang sesuai, lalu tetapkan grup atau pengguna ke peran dengan model tersebut- atau -Gunakan filter akses untuk membatasi pengguna ke data yang sesuai- atau -Gunakan atribut pengguna untuk memberikan kredensial database yang berbeda ke grup atau pengguna- atau -Menggunakan atribut pengguna dengan pemberian akses untuk membatasi akses ke Jelajah, gabungan, tampilan, atau kolom tertentu |
Mengontrol koneksi database yang dapat diakses developer Looker | Membuat project dengan koneksi yang sesuai, mengaitkan project dengan serangkaian model, lalu menetapkan grup atau pengguna ke peran dengan model tersebut |
Akses fitur juga dapat memengaruhi akses konten. Lihat bagian Cara akses dan izin konten berinteraksi di halaman ini untuk mengetahui detail selengkapnya tentang pengaruh akses data dan akses fitur terhadap akses konten.
Elemen penyusun yang harus Anda pahami
Peran
Peran adalah kombinasi dari satu kumpulan izin dan satu kumpulan model. Kumpulan izin terdiri dari satu atau beberapa izin, dan menentukan fungsi peran tersebut. Kumpulan model terdiri dari satu atau beberapa model, dan menentukan ke model LookML mana peran tersebut berlaku.
Setelah membuat peran, Anda dapat menetapkan pengguna individual, atau grup pengguna, ke peran tersebut. Jika Anda menambahkan beberapa peran kepada setiap pengguna, dan peran lainnya ke grup tempat pengguna berada, pengguna akan mewarisi semua peran tersebut yang disatukan.
Beberapa izin relevan dengan seluruh instance Looker Anda, izin lainnya hanya berlaku untuk model dalam peran yang sama. Lihat halaman dokumentasi Peran untuk informasi selengkapnya.
Project
Project memungkinkan Anda membatasi koneksi database yang dapat digunakan oleh model tertentu. Hal ini dapat membantu Anda mengontrol set data mana yang dapat berinteraksi dengan developer Looker Anda saat mereka membuat model. Project dapat berisi satu atau beberapa model, dan dapat dikonfigurasi untuk menggunakan satu atau beberapa koneksi.
Batasan yang ditentukan melalui project ini juga mengalir ke Looker SQL Runner, yang memastikan bahwa developer Anda tidak bisa mendapatkan akses ke koneksi database yang dilarang menggunakan SQL Runner.
Atribut pengguna
Atribut pengguna memungkinkan Anda menetapkan nilai arbitrer ke grup pengguna atau masing-masing pengguna. Nilai ini kemudian digunakan sebagai input ke berbagai bagian Looker, yang menyesuaikan pengalaman setiap pengguna.
Salah satu cara agar pengguna dapat mengontrol akses adalah dengan membuat parameter kredensial database agar spesifik bagi setiap pengguna. Fungsi ini hanya bermanfaat jika {i>database<i} Anda memiliki banyak pengguna dengan beragam akses data. Lihat halaman dokumentasi Atribut pengguna untuk informasi selengkapnya.
Cara lain yang digunakan pengguna untuk mengontrol akses adalah sebagai bagian dari filter akses. Filter akses memungkinkan Anda menggunakan satu atau beberapa atribut pengguna sebagai filter data. Misalnya, Anda mungkin ingin memberi setiap pengguna nama perusahaan, lalu memastikan konten apa pun yang mereka lihat difilter menurut nama tersebut. Untuk deskripsi tentang cara menerapkan filter akses, lihat halaman dokumentasi Atribut pengguna dan halaman dokumentasi parameter access_filter
.
Atribut pengguna juga mengontrol pemberian akses. Pemberian akses menentukan atribut pengguna dan menentukan nilai yang diizinkan dalam atribut pengguna tersebut untuk memberikan akses ke Jelajah, gabungan, tampilan, atau kolom. Kemudian, Anda menggunakan parameter required_access_grants
di tingkat Jelajah, join, tampilan, atau kolom untuk membatasi akses ke struktur LookML tersebut hanya bagi pengguna yang memiliki nilai atribut pengguna yang diizinkan. Misalnya, Anda dapat menggunakan pemberian akses untuk membatasi akses ke dimensi salary
hanya bagi pengguna yang memiliki nilai payroll
di atribut pengguna department
mereka. Untuk deskripsi tentang cara menentukan pemberian akses, lihat halaman dokumentasi parameter access_grant
.
Menggunakan elemen penyusun
Mengontrol akses fitur
Izin mengontrol jenis aktivitas yang dapat dilakukan pengguna atau grup. Berikut cara pengguna mendapatkan izin:
- Praktik terbaiknya adalah mengidentifikasi satu atau beberapa grup pengguna yang harus memiliki set izin, membuat grup jika perlu. Anda dapat memberikan izin kepada setiap pengguna jika diinginkan.
- Buat set izin yang berisi izin yang sesuai.
- Jika beberapa izin yang akan ditetapkan adalah khusus model, buat atau identifikasi kumpulan model yang ada.
- Buat peran yang menggabungkan kumpulan izin dan, jika perlu, kumpulan model.
- Tetapkan peran dari halaman Peran. Setelah peran ada, Anda juga dapat menetapkan peran kepada pengguna di halaman Pengguna.
Anda dapat menetapkan beberapa peran ke pengguna atau grup. Dalam hal ini, pengguna akan memiliki semua izin dari semua peran yang mereka miliki. Contoh:
- Role1 memberikan kemampuan untuk melihat dasbor di Model1.
- Role2 memberikan kemampuan untuk melihat dasbor dan menjelajah di Model2.
Jika Anda menetapkan kedua peran tersebut ke grup pengguna yang sama, mereka dapat melihat dasbor di Model1 dan Model2, tetapi hanya dapat menjelajahi Model2.
Mengontrol akses pengguna ke kolom Looker
Kolom yang dapat digunakan pengguna dikontrol oleh model yang dapat diakses pengguna. Berikut ini cara pengguna mendapatkan akses kolom:
- Membuat model LookML (atau kombinasi model LookML) yang hanya berisi kolom yang dapat diakses pengguna.
- Buat set model yang berisi model tersebut, lalu tetapkan ke sebuah peran. Tindakan ini dilakukan di halaman Peran Looker.
- Untuk bekerja dengan grup pengguna, yang biasanya merupakan saran kami, buat grup di halaman Grup Looker. Kemudian, tetapkan grup tersebut ke peran yang sesuai di halaman Peran.
- Untuk bekerja dengan pengguna satu per satu, tetapkan peran kepada pengguna tersebut dari halaman Pengguna atau halaman Peran.
Anda dapat menetapkan beberapa peran ke pengguna atau grup. Pengguna kemudian dapat bekerja dengan semua model dari semua peran yang mereka miliki.
Penting untuk diperhatikan bahwa parameter hidden
untuk kolom dirancang untuk menciptakan pengalaman yang lebih bersih bagi pengguna, bukan untuk mengontrol akses kolom. Parameter hidden
menyembunyikan kolom dari pemilih kolom, tetapi tidak akan mencegah pengguna menggunakan kolom tersebut. Jika seseorang mengirimi mereka link yang menggunakan kolom tersebut, mereka dapat melihatnya, dan tempat lain di Looker akan tetap menampilkan kolom tersebut.
Mengontrol akses pengguna ke data
Ada beberapa cara untuk mengontrol akses pengguna ke data, bergantung pada kasus penggunaannya:
- Untuk mencegah pengguna melihat kolom data tertentu, kontrol kolom yang dapat mereka akses, seperti yang dijelaskan di atas. Selama pengguna tidak dapat mengembangkan dan tidak dapat menggunakan SQL Runner, mereka akan dibatasi oleh kolom yang dapat mereka akses.
- Untuk mencegah pengguna melihat baris data tertentu, terapkan kolom filter akses, seperti yang dijelaskan di halaman dokumentasi parameter
access_filter
. - Untuk membatasi akses ke Jelajah, gabungan, tampilan, atau kolom tertentu, buat pemberian akses yang membatasi akses hanya untuk pengguna yang diberi nilai atribut pengguna yang diizinkan, seperti yang dijelaskan di halaman dokumentasi parameter
access_grant
. - Untuk membatasi pengguna Looker agar tidak menjalankan kueri pada pengguna database tertentu, yang telah dikonfigurasi tim database Anda untuk membatasi akses data, gunakan atribut pengguna. Alat ini memungkinkan Anda membuat parameter koneksi database sehingga grup pengguna atau pengguna perorangan menjalankan kueri mereka dengan kredensial database tertentu. Anda juga harus mempertimbangkan untuk membatasi pengguna ke kolom Looker yang tepat. Jika tidak, pengguna Looker mungkin mencoba mengkueri kolom yang tidak dapat diakses oleh pengguna database mereka, dan mereka akan menerima pesan error.
Sama seperti parameter kolom hidden
yang tidak dimaksudkan untuk mengontrol akses kolom, parameter hidden
untuk Jelajah tidak mencegah semua pengguna melihat Jelajah. Parameter hidden
menghapus Jelajah dari menu Eksplorasi. Namun, jika pengguna telah menyimpan konten yang merujuk ke Jelajah tersembunyi, pengguna tersebut tetap dapat mengakses data Jelajah tersebut.
Jika Anda menggunakan penyematan yang ditandatangani, pastikan untuk mengonfigurasi kontrol akses data melalui URL sematan yang ditandatangani.
Mengontrol akses developer ke koneksi database
Tidak seperti pengguna biasa, developer Looker tidak sepenuhnya dibatasi oleh model dan filter akses, karena mereka dapat dengan mudah menambahkan atau mengubah model LookML. Namun, admin tetap dapat membatasi developer Looker ke koneksi database tertentu menggunakan project. Untuk melakukannya:
- Buat project yang membatasi sejumlah model tertentu ke sejumlah koneksi database tertentu. Hal ini dilakukan di halaman Kelola Project di Looker.
- Buat set model yang berisi setidaknya salah satu model dalam project, lalu tetapkan ke sebuah peran. Tindakan ini dilakukan di halaman Peran Looker.
- Untuk bekerja dengan grup pengguna, yang biasanya merupakan saran kami, buat grup di halaman Grup Looker. Kemudian, tetapkan grup tersebut ke peran yang sesuai di halaman Peran.
- Untuk bekerja dengan pengguna satu per satu, tetapkan peran kepada pengguna tersebut dari halaman Pengguna atau halaman Peran.
Jika developer Looker dapat melihat model apa pun yang merupakan bagian dari project, mereka akan dapat melihat semua model yang merupakan bagian dari project tersebut. Misalnya, hal ini dapat terjadi jika Anda menetapkan peran kepada developer Looker hanya dengan satu model, tetapi model tersebut kebetulan merupakan bagian dari project yang berisi model lain.
Cara akses dan izin konten berinteraksi
Akses konten dikelola oleh pengguna saat mereka melihat folder, atau dikelola oleh admin Looker di halaman Akses Konten di panel Admin. Peran yang ditetapkan kepada pengguna menentukan fitur dan akses data pengguna. Hal ini memengaruhi tindakan yang dapat dilakukan pengguna di folder dan apakah mereka dapat melihat Look dan dasbor.
Melihat data di Look dan dasbor
Untuk melihat data dasbor atau Tampilan, pengguna harus memiliki setidaknya akses Lihat ke folder tempat konten disimpan.
Pengguna harus memiliki izin access_data
dan see_looks
untuk memilih Tampilan dan melihat datanya. Pengguna harus memiliki izin access_data
dan see_user_dashboards
untuk memilih dasbor dan melihat datanya.
Untuk melihat data di tile Tampilan atau dasbor, pengguna harus memiliki akses ke data tersebut. Tanpa akses data yang diperlukan:
- Meskipun pengguna dapat melihat Tampilan yang tercantum dalam folder dan dapat membuka Tampilan tersebut, kueri Tampilan tidak akan dijalankan dan pengguna tidak dapat melihat data Tampilan.
- Meskipun pengguna dapat melihat dasbor yang tercantum di folder dan dapat membuka dasbor, setiap kartu tempat pengguna tidak memiliki akses akan ditampilkan sebagai kosong. Jika dasbor yang memiliki kartu yang dibuat dari beberapa model, pengguna akan dapat melihat kartu yang terkait dengan model yang dapat mereka akses, dan kartu dari model lain akan menampilkan error.
Misalnya, pengguna yang memiliki akses Lihat untuk sebuah folder, akses data untuk data dasar semua Look di folder, serta izin access_data
dan see_looks
dapat melihat daftar semua Look di folder dan juga dapat melihat Look tersebut. Jika pengguna tidak memiliki akses untuk melihat LookML atau dasbor yang ditentukan pengguna, pengguna tidak akan melihat dasbor yang mungkin ada di folder.
Melihat folder serta daftar Look dan dasbor
Pengguna memerlukan setidaknya tingkat akses View ke folder untuk melihat folder tersebut dan melihat daftar konten yang disimpan di dalam folder tersebut.
Pengguna yang juga memiliki setidaknya izin see_looks
dapat melihat judul Look dalam folder. Pengguna yang juga memiliki izin minimal see_user_dashboards
dapat melihat judul dasbor di folder. Namun, ini tidak berarti bahwa mereka dapat melihat data Tampilan atau dasbor.
Misalnya, pengguna yang memiliki izin see_looks
tetapi tidak memiliki izin access_data
dapat melihat judul Look, tetapi tidak dapat melihat data Tampilan.
Pengguna yang memiliki izin access_data
, tetapi tidak memiliki see_looks
atau see_user_dashboards
tidak dapat melihat folder atau konten apa pun.
Memodifikasi folder
Pengguna harus memiliki tingkat akses Kelola Akses, Edit agar folder dapat mengatur folder tersebut, termasuk menyalin dan memindahkan konten, mengganti nama dan memindahkan folder, serta tindakan serupa. Pengguna juga harus memiliki izin manage_spaces
untuk membuat, mengedit, memindahkan, dan menghapus folder.
Memanfaatkan infrastruktur izin pengguna (LDAP, SAML, dan OpenID Connect)
Jika sudah memiliki penyiapan infrastruktur LDAP, SAML, atau OpenID, Anda dapat menggunakan sistem tersebut untuk mengelola login pengguna. Petunjuk untuk menyiapkan LDAP dapat ditemukan di halaman Autentikasi LDAP. Petunjuk untuk menyiapkan SAML dapat ditemukan di halaman dokumentasi autentikasi SAML. Petunjuk untuk menyiapkan OpenID Connect dapat ditemukan di halaman dokumentasi autentikasi OpenID Connect.
Jika telah mengonfigurasi grup di penerapan LDAP, SAML, atau OpenID Connect, Anda juga dapat menggunakan grup tersebut dalam Looker. Namun, ada beberapa hal yang harus diperhatikan:
- Setiap grup yang Anda buat akan otomatis ditransfer ke Looker, dan akan terlihat di halaman Grup. Satu grup Looker akan dibuat untuk setiap grup LDAP, SAML, atau OpenID Connect, dan nama grup Looker akan mencerminkan nama grup LDAP, SAML, atau OpenID Connect.
- Anda akan dapat menggunakan grup Looker ini untuk menetapkan tingkat akses untuk folder dan atribut pengguna kepada anggota grup.
- Anda tidak dapat menggunakan grup Looker untuk mengonfigurasi peran seperti pada grup yang dibuat secara manual. Sebagai gantinya, Anda akan memetakan grup LDAP, SAML, atau OpenID Connect ke peran Looker selama proses penyiapan, dan hanya dapat mengubah peran yang ditetapkan dari halaman penyiapan LDAP, SAML, atau OpenID Connect. Kami mewajibkan pendekatan ini agar grup LDAP, SAML, atau OpenID Connect tetap menjadi satu sumber tepercaya. Tanpa batasan ini, pemetaan grup ke peran dapat menyimpang dari fungsi yang dimaksudkan dalam skema LDAP, SAML, atau OpenID Connect Anda.
Anda juga dapat menggunakan LDAP untuk menerapkan koneksi database khusus pengguna ke kueri Looker, seperti yang dijelaskan di halaman dokumentasi autentikasi LDAP.