Mit verschiedenen Zugriffsebenen für Inhalt wird festgelegt, welche Nutzer in Looker-Ordnern Inhalt anzeigen und bearbeiten können. Während Berechtigungen einem Nutzer entsprechend seiner Rolle zugewiesen werden, ist der Inhaltszugriff mit einem Ordner verknüpft und definiert, inwiefern der Ordner für Nutzer auf verschiedenen Ebenen geöffnet ist.
Zugriffsarten für Ordner
Jedem Looker-Nutzer oder jeder Gruppe kann für jeden Ordner eine von zwei Zugriffsebenen zugewiesen werden:
Anzeigen: Mit dieser Zugriffsebene können Nutzer sehen, dass ein Ordner vorhanden ist, und außerdem die darin enthaltenen Looks und Dashboards anzeigen und kopieren.
Zugriff verwalten, Bearbeiten: Mit dieser Zugriffsebene kann ein Nutzer alle Aktionen ausführen, die auch mit der Zugriffsebene Ansicht möglich sind, und darüber hinaus Änderungen am Ordner vornehmen, wie zum Beispiel:
Weitere Informationen zu Zugriff und Berechtigungen für Inhalte finden Sie unter Zugriff auf Nutzerinhalte steuern und Zugriff und Berechtigungen für Inhalte.
Offene und geschlossene Systeme für den Zugriff auf Ordner
Mit den Looker-Einstellungen können Sie den Nutzerzugriff basierend auf den Richtlinien Ihres Unternehmens und den Benutzertypen strukturieren, die mit Ihren Ordnern interagieren. Grundsätzlich ist das von Ihnen erstellte System einen von drei grundsätzlichen Kategorien zuzuordnen: vollständig offen, offen mit Einschränkungen oder geschlossen.
| Zugriffsebenen für Ordner | Beschreibung | Empfohlene Verwendung |
|---|---|---|
| Vollständig offen | Alle Benutzer können alle geteilten Inhalte anzeigen und bearbeiten. Dies ist die Standardkonfiguration von Looker. | Ein offenes System wird für kleine Unternehmen oder Teams empfohlen, die mit Looker arbeiten, für Unternehmen mit offenen Datenrichtlinien und Unternehmen, in denen die Freigabe bearbeitbarer Berichte im Vordergrund steht. |
| Offen mit Einschränkungen | Der Zugriff auf geteilte Inhalte wird auf irgendeine Weise beschränkt, sodass nur bestimmte Personen bestimmte Inhalte bearbeiten können oder dass bestimmte Inhalte für bestimmte Personen nicht sichtbar sind. | Ein offenes System mit Einschränkungen wird für mittelgroße oder größere Teams und Unternehmen empfohlen, die über einen stark diversifizierten Benutzerstamm verfügen und wo nicht alle Berichte für alle Personen relevant sind, oder aber für Unternehmen, deren Inhalte zwar für alle sichtbar aber nur für einige bearbeitbar sein sollen. |
| Geschlossen | Dieses System wird auch als Multi-Tenant-Installation bezeichnet. Hier werden Inhalte nach bestimmten Gruppen in Silos zusammengefasst, und es wird verhindert, dass sich Benutzer aus verschiedenen Gruppen untereinander kennen. | Um die privaten Informationen Ihrer Kunden zu schützen, empfehlen wir dringend, ein geschlossenes System für Fälle mit Whitelabel- und signierter Einbettung zu verwenden, wenn Kunden Clients in das System hosten, die gegebenenfalls von anderen Unternehmen oder Gruppen stammen und nichts voneinander wissen sollen. |
Nachdem Sie das gewünschte System festgelegt haben, finden Sie auf dieser Seite die notwendigen Schritte zur Konfiguration. Für die Ersteinrichtung empfehlen wir den Bereich Zugriff auf Inhalte im Bereich Verwaltung, da Sie dort alle Ordner auf einmal ändern können.
So wirkt sich der Zugriff auf einen Ordner auf die untergeordneten Ordner aus
Bevor Sie entscheiden, wie offen oder geschlossen Ihr System sein soll, müssen Sie wissen, wie sich die Zugriffsebenen, die Sie in übergeordneten Ordnern festlegen, auf die untergeordneten Ordner auswirken und was Sie auf unteren Ebenen in der Hierarchie ändern können und was nicht.
| Zugriffstyp | Vererbungsmuster | Beschreibung |
|---|---|---|
| Zugriff verwalten und bearbeiten | Wandert die gesamte Ordnerhierarchie nach unten | Nachdem Sie einem Nutzer Zugriff auf Zugriff verwalten, Bearbeiten in einem Ordner erteilt haben, erhält er diese Zugriffsebene für alle Looks, Dashboards und untergeordneten Ordner in diesem Ordner. Sie können den Zugriff auf einer niedrigeren Hierarchieebene des Ordners nicht mehr einschränken. |
| Ansehen | Kann an jeder Stelle in der Hierarchie des Ordners entfernt werden | Wenn Sie den Zugriff Ansicht auf Ordnerebene entfernen, kann der Nutzer diesen Ordner und seinen gesamten Inhalt nicht mehr sehen. Sie können den Zugriff Ansicht auch an einer niedrigeren Stelle in der Hierarchie entfernen, um zu verhindern, dass Nutzer bestimmte Looks, Dashboards oder untergeordnete Ordner in einem ansonsten sichtbaren Ordner sehen können. |
Looker-Administratoren haben Zugriff verwalten, Bearbeiten für alle Ordner und somit auf alle Inhalte. So können sie das System verwalten, jeglichen verwaisten Inhalt verhindern und Benutzern bei Problemen helfen.
Vollständig offene Systeme konfigurieren
Die Standardkonfiguration von Looker ermöglicht vollständig offenen Zugriff auf alle Ordner. Der Gruppe Alle Nutzer wird die Zugriffsebene Zugriff verwalten, Bearbeiten für den freigegebenen Ordner zugewiesen. Diese Zugriffsebene wird dann auf alle Unterordner im freigegebenen Ordner angewendet. Verwalten Sie diese Einstellung im Bereich Verwaltung unter Zugriff auf Inhalte.
Wenn ein Nutzer Zugriff verwalten, Bearbeiten für einen Ordner hat, hat er auch Zugriff verwalten, Bearbeiten für alle Inhalte in diesem Ordner, einschließlich aller untergeordneten Ordner. Das heißt, es gibt in diesem System keinerlei Beschränkungen für den Zugriff auf Inhalte.
Persönliche Ordner haben eine eigene Hierarchie und verfügen über Standardeinstellungen. Für die Gruppe Alle Nutzer ist für alle persönlichen Ordner die Option Anzeigen festgelegt. Jeder Nutzer kann diese Gruppe aus seinem privaten Ordner entfernen, wenn er möchte, dass sein privater Ordner privat ist.
Offene Systeme mit Einschränkungen konfigurieren
Mit diesen Schritten können Sie ein offenes System mit Einschränkungen konfigurieren:
- Planen Sie die Struktur.
- Konfigurieren Sie Gruppen, um detaillierten Zugriff zu gewähren.
- Ändern Sie den Zugriff der Gruppe Alle Nutzer für den freigegebenen Ordner in Anzeigen.
- Entfernen Sie Alle Nutzer aus allen Ordnern, die nicht für das gesamte Unternehmen sichtbar sein sollen.
Planen Sie Ihre Struktur
Wer soll bestimmte Ordner anzeigen und bearbeiten können? Sie machen sich das Leben leichter, wenn Sie Ihren Plan bevor Sie mit der Konfiguration des Zugriffs beginnen, skizzieren. Somit können Sie im Laufe des Prozesses auch Änderungen abhaken, damit Sie sie nicht nachträglich in verschiedenen Ordnern prüfen müssen. Wenn Sie Nutzer in Gruppen einteilen, können Sie den Zugriff für verschiedene Abteilungen oder Teams in Ihrem Unternehmen verwalten.
Eine der häufigsten Konfigurationen besteht aus einem Ordner pro Abteilung oder Team. Das sieht dann ungefähr so aus:
- Erstellen Sie in Ihrem geteilten Ordner einen Ordner für eine Abteilung, ein Team oder ein Projekt. In diesem Abschnitt orientieren wir uns an einem Beispiel für ein Finanzteam.
- Weisen Sie dem CFO (oder dem Hauptanalysten für Finanzen) die Zugriffsrechte Zugriff verwalten, Bearbeiten für diesen Ordner zu. Weisen Sie dem Rest des Teams den Zugriff Ansicht zu.
- Erstellen Sie zwei untergeordnete Ordner: einen für bearbeitbaren Inhalt und einen für schreibgeschützten Inhalt. Fügen Sie gegebenenfalls einen dritten untergeordneten Ordner für privaten Inhalt hinzu.
- Gewähren Sie im untergeordneten Ordner für bearbeitbaren Inhalt dem gesamten Team mit einer Gruppe „Finanzen“ den Zugriff Zugriff verwalten, Bearbeiten. Wenn Sie der Gruppe „Finanzen“ diese Zugriffsebene gegeben haben, können alle darin enthaltenen Mitglieder Inhalt in diesem untergeordneten Ordner hinzufügen, löschen oder ändern.
- Gewähren Sie im untergeordneten Ordner für schreibgeschützten Inhalt der gesamten Gruppe „Finanzen“ den Zugriff Ansicht. Der CFO kann weiterhin Zugriff verwalten, Bearbeiten in diesem Ordner, da er diesen Zugriff vom Haupt-Finanzordner erbt.
- Entfernen Sie im (optionalen) privaten untergeordneten Ordner die Gruppe „Finanzen“ vollständig. Nur der CFO kann diesen Ordner sehen beziehungsweise dessen Inhalt verwalten.
Konfigurieren Sie Gruppen, um detaillierten Zugriff zu gewähren.
Wenn Sie beabsichtigen, den Zugriff auf Inhalte einzuschränken, können Looker-Gruppen dies erheblich vereinfachen. Gruppen können genauso Zugriff auf Ordner und untergeordnete Ordner erhalten wie Benutzer. Gruppen können zudem wiederum andere Gruppen enthalten. Informationen zum Konfigurieren von Gruppen finden Sie auf der Seite „Gruppen“.
Legen Sie zuerst Zugriff für einzelne untergeordnete Ordner fest und arbeiten Sie sich dann weiter nach oben vor, indem Sie Zugriff für den gesamten geteilten Ordner festlegen. Da Zugriffsberechtigungen in der Hierarchie von Ordnern nach unten weitergegeben werden, besteht die sicherste Lösung darin, diese zunächst für die untergeordneten Ordner auf der niedrigsten Ebene einzeln zu bearbeiten. Danach können Sie sich durch die Ordner auf übergeordneten Ebenen weiter nach oben arbeiten und ihnen die gewünschte Zugriffsberechtigung geben. Somit können Sie sicherstellen, dass keine Konflikte mit Ihren für die unteren Ebenen getroffenen Entscheidungen entstehen.
In diesem Beispiel beginnen wir mit den untergeordneten Ordnern innerhalb des geteilten Ordners. Verwalten Sie diese Einstellungen im Bereich Zugriff auf Inhalte des Bereichs Verwaltung:
- Legen Sie für jeden Ordner im freigegebenen Ordner Eine benutzerdefinierte Liste von Nutzern fest.
Weisen Sie den Nutzern und Gruppen, die Inhalte bearbeiten sollen, die Zugriffsrechte Zugriff verwalten, Bearbeiten zu.
Weisen Sie den Nutzern und Gruppen, die nur Lesezugriff haben sollen, den Zugriffstyp Anzeigen zu.
Bis zur Änderung der Einstellungen für den geteilten Ordner auf oberster Ebene werden keine anderen Änderungen wirksam. Die Zugriffsebene für die Gruppe Alle Nutzer ist im Ordner „Gemeinsam“ auf Zugriff verwalten, Bearbeiten festgelegt und wird auf alle einzelnen Unterordner angewendet. Die Einstellungen für Alle Nutzer können Sie in einem einzelnen untergeordneten Ordner erst dann ändern, wenn die Zugriffsebene für diese Gruppe im geteilten Ordner geändert wurde.
Klicken Sie auf den Ordner, den Sie konfigurieren möchten, und dann auf Zugriff verwalten.
Ändern Sie den Zugriff der Gruppe Alle Nutzer für den freigegebenen Ordner in Ansicht.
Ihrer Änderungen werden nun wirksam. Beachten Sie den Plan für Ihre Struktur.
Wenn nicht alle Nutzer Bearbeitungszugriff auf alle Inhalte in Ihrem System haben sollen, klicken Sie zuerst auf Zugriff verwalten für den freigegebenen Ordner und ändern Sie Alle Nutzer von Zugriff verwalten, Bearbeiten in Ansehen.
Wenn Sie bestimmte Unterordner nur bestimmten Gruppen anzeigen lassen möchten, fahren Sie mit dem nächsten Abschnitt fort.
Die Gruppe Alle Nutzer aus den Ordnern entfernen, die nicht sichtbar sein sollen
Wenn ein Ordner für eine bestimmte Untergruppe von Nutzern privat sein soll, entfernen Sie Alle Nutzer vollständig aus diesem Ordner. Verwenden Sie hierzu das X rechts neben der Zugriffsebene des Ordners. Der Ordner ist jetzt nur für Nutzer und Gruppen sichtbar, die Sie ausdrücklich angeben.
Geschlossene Systeme konfigurieren
Looker bietet die Option Geschlossenes System, mit der folgende Änderungen vorgenommen werden:
- Die Gruppe Alle Nutzer wird entfernt. Es gibt keine Möglichkeit, sich auf alle Benutzer im System als eine Gruppe zu beziehen. Stattdessen sollten Looker-Administratoren eine Gruppe pro Mandanten oder Kunden erstellen, wie im Abschnitt Gruppen für detaillierten Zugriff konfigurieren erläutert. In diesen Ausführungen gehen wir davon aus, dass es sich bei jedem Kunden um ein Unternehmen handelt.
- Alle Benutzerordner werden standardmäßig als privat definiert. Benutzer können weiterhin Inhalte in ihren Ordnern mit anderen Mitgliedern ihrer Gruppe teilen.
Es wird verhindert, dass Benutzer andere Benutzer sehen, die nicht ihrer Gruppe angehören. Wenn also ein Benutzer Mitglied der Gruppe „Unternehmen C“ ist, sieht er nur andere Mitglieder von „Unternehmen C“. Die Mitglieder der Gruppen „Unternehmen A“ und „Unternehmen B“ sieht er nicht.
Die Startseite: Zuletzt angesehene Inhalte ist ein Beispiel für eine Stelle in Looker, an der der Nutzer nur andere Mitglieder von „Unternehmen C“ und deren Inhalte sieht.
Mit diesen Schritten können Sie ein geschlossenes System konfigurieren:
- Bitten Sie um die Option Closed System.
- Planen Sie die Struktur.
- Konfigurieren Sie Gruppen, um detaillierten Zugriff zu gewähren.
- Aktivieren Sie das geschlossene System im Bereich Verwaltung.
- Geben Sie jeder Unternehmensgruppe in Ihrem System Ansichtszugriff für den freigegebenen Ordner.
- Konfigurieren Sie die Zugriffsebenen für jeden untergeordneten Ordner der freigegebenen Ordner.
- Migrieren Sie Inhalte in Unterordner.
Für diese Schritte wird angenommen, dass sich in den freigegebenen Ordnern keine Inhalte für Multi-Tenant-Nutzer befinden. Um Inhalte unter einem geschlossenen System in Silos zu organisieren und zu verhindern, dass Kunden der anderen Gruppen sich gegenseitig sehen, verschieben Sie vor der Ausführung der nachstehenden Schritte solche Inhalte aus dem geteilten Ordner in einzelne untergeordnete Ordner.
Bitten Sie um Verfügbarkeit der Option „Closed System“.
Wenn Sie die Option Geschlossenes System für Ihre Instanz aktivieren möchten, wenden Sie sich an einen Google Cloud-Vertriebsmitarbeiter oder erstellen Sie eine Supportanfrage.
Planen Sie Ihre Struktur
Wenn Sie Ihren Plan im Voraus erstellen, ist die Konfiguration Ihres Systems im Folgenden wesentlich einfacher. Dabei sind zwei Hauptbereiche besonders zu berücksichtigen:
Erstens, erstellen Sie für jedes Unternehmen eine eigene Gruppe. In einer Unternehmensgruppe sind alle Benutzer aus dem jeweiligen Unternehmen zusammengefasst und diese Benutzer werden von anderen Unternehmen getrennt behandelt.
Zweitens: Überlegen Sie, ob mehrere Unternehmen einen Ordner sehen sollen (zum Beispiel für alle Unternehmen relevante Dashboards) oder ob für jedes Unternehmen ein eigener Ordner auf der obersten Ebene erstellt werden soll (für spezielle Inhalte, die nur für ein Unternehmen relevant sind).
Konfigurieren Sie Gruppen, um detaillierten Zugriff zu gewähren.
Es sollte zumindest eine Gruppe pro Unternehmen geben, diese Gruppe kann jedoch wiederum Untergruppen enthalten. Sollen einige Nutzer in einem Unternehmen die Berechtigung zum Bearbeiten und Verwalten von Inhalten haben und andere Inhalte nur sehen dürfen, können Sie separate Untergruppen für die verschiedenen Benutzertypen erstellen. Sie können beispielsweise damit beginnen, Unternehmen A als übergeordnete Gruppe zu erstellen und dieser zwei Untergruppen hinzuzufügen: Bearbeiter bei Unternehmen A und Betrachter bei Unternehmen A.
Informationen zum Konfigurieren von Gruppen finden Sie auf der Dokumentationsseite Gruppen.
Aktivieren Sie die Option „Closed System“ im Bereich Verwaltung.
Es empfiehlt sich, die Option Geschlossenes System zu aktivieren, bevor Sie Zugriffssteuerungen für Ordner einrichten, da durch die Aktivierung der Option Geschlossenes System Änderungen an Ihrem System vorgenommen werden (siehe die Einführung zum Konfigurieren eines geschlossenen Systems auf dieser Seite). Sie finden diese Option im Bereich Verwaltung in Looker unter Einstellungen im Bereich Allgemein.
Gewähren Sie jeder Unternehmensgruppe den Zugriff Ansicht für den geteilten Ordner
Gewähren Sie jeder Unternehmensgruppe den Zugriff Ansicht für die freigegebenen Ordner. Somit können Mitglieder dieser Gruppen auf den geteilten Ordner zugreifen und den Ordner ihres eigenen Unternehmens darin sehen. Verfügt eine Gruppe nicht über den Zugriff Ansicht für den geteilten Ordner, können die darin enthaltenen Benutzer den Ordner ihres eigenen Unternehmens nicht sehen. Verwalten Sie diese Einstellungen im Bereich Zugriff auf Inhalte des Bereichs Verwaltung.
Zugriffsebenen für jeden untergeordneten Ordner konfigurieren
Legen Sie Zugriffsebenen fest, um zu definieren, wer Inhalte in den einzelnen untergeordneten Ordnern sehen oder bearbeiten kann. Untergeordnete Ordner erhalten standardmäßig die Zugriffseinstellungen ihrer übergeordneten Elemente, bis Sie diese ändern. Das bedeutet, dass ein Unternehmen mit dem Zugriff Ansicht für den geteilten Ordner Inhalte im untergeordneten Ordner eines anderen Unternehmens sehen kann, bis Sie den Zugriff auf diesen untergeordneten Ordner einschränken. Prüfen Sie jeden untergeordneten Ordner und schränken Sie den Zugriff entsprechend ein.
Inhalt in untergeordnete Ordner migrieren
Verfügt Ihr Unternehmen über Benutzer, die zum Anzeigen ihres eigenen Ordners und anderer persönlicher Ordner berechtigt sind, wird die Migration von allen Inhalten aus diesen persönlichen Ordnern in die entsprechenden Ordner in der geteilten Haupthierarchie empfohlen.