Diferentes níveis de acesso ao conteúdo determinam quais usuários podem acessar e editar conteúdo nas pastas do Looker. Enquanto as permissões são associadas a um usuário de acordo com a função da pessoa, o acesso ao conteúdo é associado a uma pasta e define o nível de abertura da pasta para os usuários.
Tipos de acesso a pastas
É possível atribuir um dos dois níveis de acesso a cada usuário ou grupo do Looker para qualquer pasta:
Visualizar: com esse nível de acesso, o usuário pode conferir a existência da pasta, acessar os Looks e painéis nela e copiar esses itens.
Gerenciar acesso, editar: nesse nível, o usuário pode fazer tudo o que o nível de acesso Visualizar permite, além de fazer alterações na pasta, como:
Para ver uma discussão adicional sobre acesso e permissões ao conteúdo, consulte Como controlar o acesso ao conteúdo do usuário e Como o acesso ao conteúdo e as permissões interagem.
Sistemas abertos e fechados de acesso a pastas
As configurações do Looker ajudam a estruturar o acesso dos usuários com base nas políticas da sua empresa e nos tipos de usuários que vão interagir com as pastas. Em geral, o sistema que você cria se enquadra em uma destas três categorias amplas: completamente aberto, aberto com restrições ou fechado.
| Nível de acesso às pastas | Descrição | Uso recomendado |
|---|---|---|
| Totalmente aberto | Todos os usuários podem visualizar e modificar todo o conteúdo compartilhado. Essa é a configuração padrão do Looker. | Um sistema aberto é recomendado para pequenas empresas ou equipes que usam o Looker, empresas com políticas abertas sobre dados e empresas em que o compartilhamento de relatórios editáveis é um caso de uso principal. |
| Abrir com restrições | O acesso ao conteúdo compartilhado é restrito de alguma forma, de modo que apenas algumas pessoas podem editar determinado conteúdo ou alguns conteúdos são totalmente invisíveis para algumas pessoas. | Um sistema aberto com restrições é recomendado para equipes e empresas de médio porte ou maiores, bases de usuários altamente diversificadas em que os relatórios não são relevantes para todos ou empresas que querem que o conteúdo seja visível para todos, mas editável apenas por alguns. |
| Fechado | Também chamada de instalação multiusuário, esse sistema isola o conteúdo em determinados grupos e impede que usuários de grupos diferentes saibam uns dos outros. | Para proteger seus clientes informações particulares, recomendamos o uso de um sistema fechado para casos de uso de marca própria e de incorporação assinada, em que os clientes hospedam no sistema clientes que podem ser de diferentes empresas ou grupos e que não devem ter conhecimento uns dos outros. |
Depois de determinar o tipo de sistema desejado, esta página vai mostrar as etapas para configurá-lo. Para a configuração inicial, recomendamos usar a seção Acesso ao conteúdo do painel Administrador, já que é um único lugar para fazer mudanças em cada pasta.
Como o acesso a uma pasta afeta as subpastas dela
Antes de definir o nível de abertura ou fechamento do sistema, é importante entender como os níveis de acesso definidos nas pastas principais afetarão as subpastas e o que você pode ou não alterar nos níveis inferiores da hierarquia.
| Tipo de acesso | Padrão de herança | Descrição |
|---|---|---|
| Gerenciar acesso, editar | Fluxos em toda a hierarquia de pastas | Depois de conceder a um usuário acesso a Gerenciar acesso, editar em uma pasta, ele vai manter esse nível de acesso a todos os Looks, dashboards e subpastas nessa pasta. Não é possível bloquear o acesso deles em uma parte inferior da hierarquia de pastas. |
| Ver | Podem ser removidos em qualquer ponto da hierarquia de pastas | A remoção do acesso de visualização no nível da pasta revoga a capacidade de um usuário de acessar essa pasta e todo o conteúdo dela. Também é possível remover o acesso de Visualização em qualquer ponto inferior na hierarquia para restringir os usuários de visualizar Looks, dashboards ou subpastas específicos dentro de uma pasta visível. |
Os administradores do Looker têm acesso para gerenciar acesso e editar a todas as pastas e, portanto, a todo o conteúdo. Isso garante a capacidade de gerenciar o sistema, evitar conteúdos órfãos e ajudar qualquer usuário com problemas.
Configurar um sistema completamente aberto
A configuração padrão do Looker permite acesso completamente aberto a todas as pastas. O grupo Todos os usuários é atribuído a Gerenciar acesso, Editar na pasta compartilhada, e todas as subpastas dentro dela herdarão esse acesso. Gerencie essa configuração na seção Acesso ao conteúdo do painel Administrador.
Quando um usuário tem acesso de Gerenciar acesso, editar a uma pasta, ele também tem acesso de Gerenciar acesso, editar a todo o conteúdo dessa pasta, incluindo todas as subpastas dela. Isso significa que não há restrições ao acesso ao conteúdo nesse sistema.
As pastas pessoais estão em uma hierarquia separada e também têm configurações padrão. O grupo Todos os usuários está definido como Visualizar em todas as pastas pessoais. Cada usuário pode remover esse grupo da pasta pessoal se quiser que a pasta pessoal seja particular.
Como configurar um sistema aberto com restrições
Estas etapas vão ajudar você a configurar um sistema aberto com restrições:
- Planeje sua estrutura.
- Configure grupos para fornecer acesso granular.
- Mude o acesso do grupo Todos os usuários para Visualizar na pasta compartilhada.
- Remova Todos os usuários de qualquer pasta que não deva ser visível para toda a empresa.
Planejar sua estrutura
Quem você quer que tenha permissão para visualizar e editar pastas específicas? Para facilitar sua vida, esboce o plano antes de configurar o acesso. Isso também lhe dá um lugar para marcar as alterações à medida que você passa pelo processo, de modo que você não tenha que voltar para verificar em várias pastas. Colocar usuários em grupos ajuda você a gerenciar o acesso de diferentes departamentos ou equipes na sua empresa.
Uma das configurações mais comuns é ter uma pasta por departamento ou equipe, que é semelhante a esta:
- Na pasta "Compartilhada", crie uma pasta para um departamento, uma equipe ou um projeto. Usaremos o exemplo de uma equipe financeira nesta seção.
- Conceda ao CFO (ou ao analista principal de Finanças) o acesso Gerenciar acesso, edição nessa pasta. Conceda ao restante da equipe acesso de Visualização.
- Crie duas subpastas: uma para conteúdo editável e outra para conteúdo somente leitura. Se necessário, adicione uma terceira subpasta para conteúdo particular.
- Na subpasta de conteúdo editável, use um grupo "Finanças" para conceder o acesso Gerenciar acesso, edição a toda a equipe financeira. Depois de conceder esse nível de acesso ao grupo Finanças, todos os membros dele poderão adicionar, excluir ou alterar o conteúdo dessa subpasta.
- Na subpasta de conteúdo somente leitura, conceda acesso de leitura a todo o grupo de finanças. O CFO ainda pode Gerenciar acesso, editar o conteúdo nessa pasta, porque ele herda esse acesso da pasta principal de Finanças.
- Na subpasta privada (opcional), remova completamente o grupo Finanças. Apenas o CFO pode ver essa pasta ou gerenciar o conteúdo dela.
Configurar grupos para fornecer acesso granular
Se você planeja restringir o acesso ao conteúdo, os grupos do Looker facilitam muito as coisas. Os grupos podem receber acesso a pastas e subpastas da mesma forma que os usuários, e podem conter outros grupos. Para saber como configurar grupos, consulte a página "Grupos".
Comece definindo o acesso a subpastas individuais primeiro e depois definindo o acesso para toda a pasta "Compartilhados". Como o acesso flui pela hierarquia de pastas, é mais seguro começar manipulando o acesso individualmente às subpastas mais baixas. Depois, você pode subir pelas pastas principais, atribuindo o nível de acesso que quiser e garantindo que as mudanças não entrem em conflito com as decisões tomadas nos níveis mais baixos.
Neste exemplo, vamos começar com as subpastas dentro da pasta "Compartilhada". Gerenciar essas configurações na seção Acesso ao conteúdo do painel Administrador:
- Defina cada pasta na pasta compartilhada como Uma lista personalizada de usuários.
Atribua o acesso Gerenciar acesso, edição aos usuários e grupos que terão permissão para editar conteúdo.
Atribua acesso de leitura aos usuários e grupos que você quer que tenham acesso somente leitura.
Até que você mude as configurações da pasta "Compartilhada" no nível superior, nada vai entrar em vigor. O nível de acesso do grupo Todos os usuários está definido como Gerenciar acesso, edição na pasta "Compartilhados" e flui para todas as subpastas individuais. Não é possível modificar as configurações de Todos os usuários em subpastas individuais até que o nível de acesso desse grupo seja alterado na pasta compartilhada.
Clique na pasta que você quer configurar e selecione Gerenciar acesso.
Mude o acesso do grupo Todos os usuários para Visualizar na pasta compartilhada
É quando suas alterações entram em vigor. Consulte o plano da sua estrutura.
Primeiro, a menos que você queira que todos tenham acesso para edição a todo o conteúdo do sistema, clique em Gerenciar acesso para a pasta compartilhada e altere Todos os usuários de Gerenciar acesso, edição para Visualizar.
Caso seu plano seja exibir determinadas subpastas apenas para grupos específicos, leia a próxima seção.
Remova o grupo Todos os usuários das pastas que você não quer que sejam acessíveis
Para tornar uma pasta particular para um determinado subgrupo de usuários, remova Todos os usuários completamente dessas pastas usando o X à direita do nível de acesso da pasta. Agora a pasta só vai aparecer para os usuários e grupos que você listar explicitamente.
Como configurar um sistema fechado
O Looker oferece uma opção de sistema fechado que faz as seguintes mudanças:
- Remove o grupo Todos os usuários. Não será possível se referir a todos os usuários do sistema como um grupo. Em vez disso, os administradores do Looker precisam criar um grupo por locatário ou cliente, conforme discutido na seção Configurar grupos para fornecer acesso granular. Para esta discussão, vamos supor que cada cliente é uma empresa.
- Torna todas as pastas do usuário privadas por padrão. Os usuários ainda podem compartilhar o conteúdo das pastas com outros membros dos grupos.
Impedem que os usuários vejam outros usuários, a menos que eles compartilhem um grupo. Portanto, se um usuário for membro do grupo da Empresa C, ele só vai ter acesso a outros membros da Empresa C, e não aos membros das Empresas A e B.
A Página inicial: conteúdo visualizado recentemente é um exemplo de lugar no Looker em que o usuário só vai encontrar outros membros da Empresa C e o conteúdo deles.
Estas etapas vão ajudar você a configurar um sistema fechado:
- Peça a opção Sistema fechado.
- Planeje sua estrutura.
- Configure grupos para fornecer acesso granular.
- Ative o sistema fechado no painel do Administrador.
- Conceda a cada grupo da empresa no seu sistema acesso de Visualização da pasta compartilhada.
- Configure os níveis de acesso para cada subpasta das pastas compartilhadas.
- Migre conteúdo para subpastas.
Estas etapas pressupõem que nenhum conteúdo para usuários multilocatários esteja armazenado nas pastas compartilhadas. Para isolar o conteúdo em um sistema fechado e evitar que clientes ou outros grupos vejam uns aos outros, mova esse conteúdo para fora da pasta "Compartilhados" e coloque-o em subpastas separadas antes de iniciar as próximas etapas.
Solicitar a opção Closed System
Para solicitar que a opção Sistema fechado seja ativada para sua instância, entre em contato com um especialista em vendas do Google Cloud ou abra uma solicitação de suporte.
Planejar sua estrutura
A configuração antecipada do plano facilita muito a configuração do sistema. Há duas áreas principais a serem consideradas:
Primeiro, crie um grupo para cada empresa. Um grupo de empresas associa todos os usuários de cada empresa e mantém esses usuários separados de outras empresas.
Em segundo lugar, considere se você quer que várias empresas acessem a mesma pasta (por exemplo, para painéis relevantes a todas as empresas) ou se você quer uma pasta de nível superior para cada empresa (para conteúdo distinto que se aplica apenas a uma única empresa).
Configurar grupos para fornecer acesso granular
Deve haver pelo menos um grupo por empresa, mas também pode haver subgrupos dentro desse grupo maior. Se quiser permitir que alguns usuários de uma empresa editem e gerenciem conteúdo e que outros apenas visualizem o conteúdo, crie subgrupos separados para cada tipo de usuário. Por exemplo, você pode começar criando a Empresa A como o grupo guarda-chuva e adicionar dois subgrupos: Editores da Empresa A e Leitores da Empresa A.
Para saber como configurar grupos, consulte a página de documentação Grupos.
Ative a opção "Sistema fechado" no painel Administrador.
É melhor ativar a opção Sistema fechado antes de configurar controles de acesso em pastas, já que a opção Sistema fechado faz mudanças no sistema. Consulte a introdução em Configurar um sistema fechado nesta página. Essa opção está localizada na seção Configurações do painel Geral na seção Administrador do Looker.
Conceder acesso de leitura a cada grupo da empresa à pasta compartilhada
Conceda acesso de leitura a cada grupo de empresas para as pastas compartilhadas. Isso permite que os membros desses grupos acessem a pasta compartilhada e vejam a pasta da própria empresa dentro dela. Se um grupo não tiver acesso de leitura às pastas compartilhadas, ele não vai conseguir acessar as pastas da própria empresa. Gerencie essas configurações na seção Acesso ao conteúdo do painel Administrador.
Configurar níveis de acesso para cada subpasta
Defina os níveis de acesso para estabelecer quem pode acessar ou editar o conteúdo em cada subpasta. Por padrão, as subpastas são as configurações de acesso até que você as altere. Isso significa que uma empresa com acesso de Visualização à pasta compartilhada poderá visualizar o conteúdo na subpasta de outra empresa, a menos que você restrinja o acesso a essa subpasta. Revise cada subpasta e restrinja o acesso adequadamente.
Migrar conteúdo para subpastas
Se a sua empresa permitiu que os usuários acessem a própria pasta e outras pastas pessoais, recomendamos migrar o conteúdo dessas pastas para as pastas adequadas na hierarquia principal "Compartilhado".