不同層級的內容存取權,決定了哪些使用者可在 Looker 資料夾中查看及編輯內容。權限會根據使用者的角色與使用者建立關聯,而內容存取權則會與資料夾建立關聯,並定義資料夾對不同層級使用者的開放程度。
資料夾存取權類型
您可以為任何資料夾的每位 Looker 使用者或群組指派下列任一存取層級:
檢視:使用者可以查看資料夾是否存在、查看資料夾中的 Look 和資訊主頁,以及複製資料夾中的 Look 和資訊主頁。
管理存取權、編輯:使用者可透過這個存取層級執行「查看」存取層級的所有操作,並且可變更資料夾,例如:
如要進一步瞭解內容存取權和權限,請參閱「控管使用者內容存取權」和「內容存取權和權限的互動方式」。
開放式和封閉式資料夾存取權系統
Looker 的設定可協助您根據公司政策和將與資料夾互動的使用者類型,建立使用者存取權結構。一般來說,您設計的系統會屬於以下三種廣義類別之一:完全開放、有限制開放或封閉。
資料夾存取層級 | 說明 | 建議用途 |
---|---|---|
完全開啟 | 所有使用者都能查看及修改所有共用內容。這是 Looker 的預設設定。 | 我們建議使用 Looker 的小型公司或團隊、有開放式資料政策的公司,以及主要用途是分享可編輯報表的公司,採用開放式系統。 |
開放,但設有限制 | 共用內容的存取權會受到限制,因此只有部分使用者可以編輯特定內容,或是某些使用者完全看不到某些內容。 | 對於中型或大型團隊和公司、使用者群體多元且報表不一定對所有人相關的情況,或是希望所有人都能查看內容,但只有少數人可編輯內容的公司,建議採用設有限制的開放式系統。 |
已關閉 | 這套系統也稱為多租戶安裝,可將內容分隔至特定群組,避免不同群組的使用者彼此認識。 | 為保護客戶的私人資訊,我們強烈建議您在私人品牌和已簽署嵌入用途中使用封閉式系統,因為在這種情況下,客戶會將客戶端代管至系統,而這些客戶可能來自不同公司或群組,且不應彼此認識。 |
決定要使用哪種系統後,您可以參閱本頁面,瞭解如何設定系統。在初始設定時,建議您使用「管理」面板中的「內容存取」部分,因為這裡是變更各個資料夾的單一位置。
資料夾存取權對其子資料夾的影響
在決定系統的開放程度前,請務必瞭解在父資料夾中設定的存取層級會如何影響子資料夾,以及在階層中較低層級可變更和不可變更的內容。
存取類型 | 繼承模式 | 說明 |
---|---|---|
管理存取權、編輯 | 會一直向下流向資料夾階層 | 一旦您授予使用者資料夾中的管理存取權、編輯存取權,他們就能保留該資料夾中所有 Look、資訊主頁和子資料夾的存取層級。你無法在資料夾階層的較低層級限制使用者存取權。 |
查看 | 可在資料夾階層的任何位置移除 | 在資料夾層級移除查看存取權,即可撤銷使用者查看該資料夾及其所有內容的權限。您也可以在階層中任何較低層級移除「檢視」存取權,限制使用者無法查看特定 Look、資訊主頁或子資料夾 (在可檢視的資料夾中)。 |
Looker 管理員具備管理存取權、編輯權限,因此可以存取所有資料夾和內容。這樣一來,他們就能管理系統、避免孤立內容,並協助遇到問題的使用者。
設定完全開放的系統
Looker 的預設設定可讓您完全開放存取所有資料夾。所有使用者群組會指派「管理存取權、編輯」權限給共用資料夾,共用資料夾中的所有子資料夾都會繼承該存取權。如要管理這項設定,請前往「管理」面板的「內容存取」部分。
使用者一旦取得資料夾的「管理存取權、編輯」權限,就會同時取得該資料夾中所有內容的「管理存取權、編輯」權限,包括該資料夾下的所有子資料夾。也就是說,這個系統不會對內容存取權設下任何限制。
個人資料夾位於獨立的階層中,並且有預設設定。「所有使用者」群組已設為「查看」所有個人資料夾。如果使用者想要將個人資料夾設為私人,可以選擇從個人資料夾中移除這個群組。
設定有限制的開放式系統
請按照下列步驟設定開放式限制系統:
規劃結構
您想允許哪些使用者查看及編輯特定資料夾?在開始設定存取權之前,先擬定計畫,就能讓您更輕鬆地完成設定。這麼做也有助於您在執行程序時勾選變更項目,不必再返回檢查各個資料夾。將使用者歸入群組,有助於管理貴公司不同部門或團隊的存取權。
最常見的設定之一,就是為每個部門或團隊建立一個資料夾,如下所示:
- 在「共用」資料夾中,為部門、團隊或專案建立資料夾。我們將在本節中使用財務團隊的範例。
- 將「管理存取權、編輯」存取權授予財務長 (或財務部門的主要分析師),將「查看」存取權授予其他團隊成員。
- 建立兩個子資料夾:一個用於可編輯內容,另一個用於唯讀內容。視需要新增第三個私人內容子資料夾。
- 在可編輯內容的子資料夾中,使用財務群組將「管理存取權、編輯」存取權授予整個財務團隊。將該存取層級授予財務團隊後,團隊中的所有成員就能新增、刪除或變更該子資料夾中的內容。
- 在唯讀內容的子資料夾中,授予整個 Finance 群組的「View」存取權。財務長仍可管理存取權、編輯這個資料夾中的內容,因為他們會從主要財務資料夾繼承這項存取權。
- 在 (選用) 私人子資料夾中,完全移除「財務」群組。只有財務長可以查看這個資料夾或管理其內容。
設定群組以提供精細的存取權
如果您打算限制內容存取權,Looker 群組可讓您輕鬆完成這項工作。您可以授予群組資料夾和子資料夾的存取權,就像授予使用者存取權一樣,而且群組可以包含其他群組。如要瞭解如何設定群組,請參閱「群組頁面」。
請先設定個別子資料夾的存取權,然後再設定整個共用資料夾的存取權。由於存取權會沿著資料夾階層向下流動,因此最安全的作法是先個別調整最底層子資料夾的存取權。接著,您可以向上移動至上層資料夾,為這些資料夾指定所需的存取層級,並確保變更不會與較低層級的決定衝突。
在本範例中,我們會先從「共用」資料夾內的子資料夾著手。如要管理這些設定,請前往「管理」面板的「內容存取」部分:
- 將共用資料夾中的每個資料夾設為自訂使用者清單。
將「管理存取權、編輯」存取權指派給您希望能編輯內容的使用者和群組。
將「查看」存取權指派給您想要授予唯讀存取權的使用者和群組。
頂層共用資料夾的設定必須變更,才能生效。「所有使用者」群組的存取層級已設為「管理存取權、編輯」,並套用至共用資料夾中的所有個別子資料夾。您必須在共用資料夾中變更該群組的存取層級,才能修改個別子資料夾中「所有使用者」的設定。
按一下要設定的資料夾,然後點選「管理存取權」。
將「共用資料夾」的「所有使用者」群組存取權變更為「檢視」
這項變更生效的時間。請務必參閱結構體的計畫。
首先,除非你想讓所有使用者都能編輯系統中的所有內容,否則請按一下共用資料夾的「管理存取權」,然後將「所有使用者」從「管理存取權、編輯」變更為「檢視」。
接著,如果您只想向特定群組顯示特定子資料夾,請繼續閱讀下一個章節。
從不想讓其他人查看的資料夾中移除「所有使用者」群組
如要將資料夾設為特定使用者子群組的私人資料夾,請使用資料夾存取層級右側的 X
,將「所有使用者」從這些資料夾中完全移除。這樣一來,資料夾只會顯示您明確列出的使用者和群組。
設定封閉式系統
Looker 提供「Closed System」選項,可進行下列變更:
- 移除「所有使用者」群組。您無法將系統中的所有使用者視為單一群組。相反地,Looker 管理員應為每個租用戶或客戶建立一個群組,詳情請參閱「設定群組以提供精細的存取權」一節。在本討論中,我們假設每位客戶都是公司。
- 預設會將所有使用者資料夾設為私人。使用者仍可選擇與群組中的其他成員共用資料夾中的內容。
使用者只能看到與自己位於相同群組的使用者。因此,如果使用者是公司 C 群組的成員,就只會看到公司 C 的其他成員,而不會看到公司 A 和 B 的成員。
「首頁:最近查看的內容」是 Looker 中的位置範例,使用者只能在該位置看到其他 Company C 成員和他們的內容。
您可以按照下列步驟設定封閉式系統:
- 要求使用封閉系統選項。
- 規劃結構。
- 設定群組,提供精細的存取權。
- 在「管理」面板中啟用封閉式系統。
- 為系統中的每個公司群組提供「共用資料夾」的檢視存取權。
- 為共用資料夾的每個子資料夾設定存取層級。
- 將內容遷移至子資料夾。
這些步驟假設共用資料夾中沒有多租戶使用者的內容。如要將內容隔離在封閉系統中,並避免客戶或其他群組看到彼此的內容,請先將這類內容從「共用」資料夾移至不同的子資料夾,再開始執行下列步驟。
要求使用封閉系統選項
如要要求為執行個體啟用「封閉式系統」選項,請聯絡 Google Cloud 銷售專員或提出支援要求。
規劃結構
事先設定企劃書,可讓您更輕鬆地設定系統。您需要考慮兩個主要層面:
首先,請務必為每家公司建立一個群組。公司群組會將每間公司的所有使用者連結在一起,並將這些使用者與其他公司區隔開來。
其次,請考慮是否要讓多家公司查看同一個資料夾 (例如,與所有公司相關的資訊主頁),或是為每家公司建立一個頂層資料夾 (針對僅適用於單一公司的獨特內容)。
設定群組以提供精細的存取權
每間公司至少應有一個群組,但該群組內也可能有子群組。如果您想讓公司內部部分使用者編輯及管理內容,其他使用者則僅能查看內容,可以為不同類型的使用者建立個別的子群組。舉例來說,您可以先建立「公司 A」做為總群組,然後再新增兩個子群組:「公司 A 的編輯人員」和「公司 A 的觀眾」。
如要進一步瞭解如何設定群組,請參閱「群組」說明文件頁面。
在「管理」面板中啟用「封閉式系統」選項
建議您先啟用「Closed System」選項,再設定資料夾的存取控制項,因為啟用「Closed System」選項會變更系統 (請參閱本頁「設定封閉式系統」的介紹)。這個選項位於 Looker 的「管理」專區「一般」面板的「設定」部分。
為每個公司群組授予共用資料夾的「檢視」權限
將「共用資料夾」的檢視權限授予各公司群組。這樣一來,這些群組的成員就能存取「共用」資料夾,並查看其中的「公司」資料夾。如果群組沒有檢視共用資料夾的權限,就無法查看自己的公司資料夾。如要管理這些設定,請前往「管理」面板的「內容存取」部分。
為各個子資料夾設定存取層級
設定存取層級,定義可查看或編輯各個子資料夾內容的使用者。子資料夾的預設存取權設定為其父資料夾的設定,除非您變更,也就是說,如果某家公司擁有共用資料夾的「檢視」存取權,就能夠查看其他公司的子資料夾內容,除非您限制該子資料夾的存取權。檢查每個子資料夾,並適當限制存取權。
將內容遷移至子資料夾
如果貴公司允許使用者查看自己的資料夾和其他個人資料夾,建議您將這些個人資料夾中的所有內容遷移至主要共用階層中的適當資料夾。