La page Utilisateurs de la section Utilisateurs du panneau Admin liste tous les comptes utilisateur de votre instance Looker.
Affichage et recherche d'utilisateurs
La page Utilisateurs affiche les informations suivantes :
Les onglets regroupent vos utilisateurs par type :
- L'onglet Utilisateurs standards affiche les utilisateurs qui se connectent à Looker directement, que ce soit grâce au processus d'authentification habituel ou grâce à l'API Looker.
- L'onglet Utilisateurs intégrés affiche les utilisateurs connectés qui sont authentifiés via une application tierce.
- L'onglet Support Looker affiche les analystes du Support Looker qui ont obtenu un accès à votre instance Looker.
Le champ Filtrer la liste limite le nombre d'utilisateurs affichés. Vous pouvez filtrer en fonction de l'ID utilisateur, du nom ou de l'adresse e-mail. Pour filtrer en fonction de l'ID utilisateur, saisissez un ID utilisateur pour afficher cet utilisateur. Pour les filtres par nom et adresse e-mail, lors de la saisie de tout contenu, la liste des utilisateurs affiche tous les utilisateurs dont le nom ou l'adresse e-mail comprend le contenu saisi dans le champ filtrer. La liste des filtres remplace la fonction de recherche de la version précédente de la page Utilisateurs.
Cliquer sur l'en-tête de la colonne Utilisateur permet de trier le tableau par nom d'utilisateur par ordre croissant ou décroissant.
Chaque ligne liste le nom, l'ID et l'adresse e-mail d'un utilisateur, et comprend une icône qui indique le type d'accès dont dispose l'utilisateur. Maintenez votre curseur sur l'icône pour voir ce qu'elle représente.
Cliquez sur la ligne pour modifier l'utilisateur. Les utilisateurs que vous ne pouvez modifier sont indiqués par un verrou sur l'icône utilisateur. Ces utilisateurs sont créés par le système (comme les membres du groupe "Tous les utilisateurs") ou gérés en externe par les protocoles LDAP, SAML ou OpenID Connect.
La colonne Identifiant actif liste les types d'accès de l'utilisateur à votre instance Looker.
La colonne Groupe répertorie tous les groupes auxquels appartient l'utilisateur.
La colonne Rôle liste tous les rôles attribués à l'utilisateur.
Cliquez sur le bouton Ajouter des utilisateurs pour créer des utilisateurs.
Vous pouvez cliquer sur le menu à trois points Options pour désactiver l'utilisateur, exécuter des commandes sudo en tant qu'utilisateur ou supprimer l'utilisateur.
La suppression d'un utilisateur est irréversible. Avant d'effectuer cette opération, tenez compte des règles de conformité et de sécurité de votre entreprise.
Ajout de comptes utilisateur
Pour ajouter un utilisateur, cliquez sur le bouton Ajouter des utilisateurs.
Sur la page Ajouter un utilisateur, saisissez ou collez une liste d'adresses e-mail séparées par des virgules, puis sélectionnez les groupes et les rôles qui seront attribués à chacune. Pour afficher la liste des groupes, commencez à saisir du texte dans le champ Groupes. Tous les noms de groupe comportant ce texte apparaîtront. Cliquez sur le bouton Enregistrer pour créer les utilisateurs et, si vous avez coché la case Envoyer des e-mails de configuration, pour envoyer des e-mails d'inscription.
Modification d'utilisateurs
Pour modifier un utilisateur, cliquez sur sa ligne. Sur la page Modifier l'utilisateur, ajustez les paramètres suivants si nécessaire.
Compte
Activez ou désactivez le compte d'un utilisateur. Envisagez de désactiver le compte utilisateur au lieu de le supprimer.
Prénom
Ajoutez ou modifiez le prénom de l'utilisateur, le cas échéant. Il n'est pas nécessaire de remplir ce champ, mais cela peut être utile pour des raisons organisationnelles.
Nom
Ajoutez ou modifiez le nom de famille de l'utilisateur, le cas échéant. Il n'est pas nécessaire de remplir ce champ, mais cela peut être utile pour des raisons organisationnelles.
Ajoutez ou modifiez l'adresse e-mail de l'utilisateur. Lorsque l'utilisateur se connecte à Looker, l'adresse e-mail lui sert de nom d'utilisateur.
Paramètres régionaux
Le champ Paramètres régionaux définit la langue de l'interface utilisateur et les paramètres régionaux du modèle d'un utilisateur.
Si vous souhaitez que l'utilisateur puisse voir certains éléments textuels de l'interface utilisateur (IU) dans une langue définie, Looker prend en charge les traductions d'IU indiquées dans le tableau suivant. Saisissez le code dans le champ Paramètres régionaux.
Si vous souhaitez que l'utilisateur consulte une version localisée d'un ou de plusieurs modèles de données, saisissez le titre du fichier de chaînes du modèle pour ce paramètre régional dans le champ Paramètre régional.
Si vous souhaitez que l'utilisateur puisse voir à la fois la localisation du modèle et les traductions intégrées de l'interface utilisateur de Looker, le fichier de chaînes du modèle doit porter le même nom que le code de langue approprié dans le tableau suivant. Ce code doit être saisi dans le champ Paramètres régionaux.
Pour confirmer le paramètre Paramètres régionaux, cliquez sur Enregistrer en bas de la page.
| Langue | Code des paramètres régionaux et nom du fichier de chaîne |
|---|---|
| Anglais | en |
| Tchèque | cs_CZ |
| Allemand | de_DE |
| Espagnol (Espagne) | es_ES |
| Finnois | fi_FI |
| Français (France) | fr_FR |
| Hindi | hi_IN |
| Italien | it_IT |
| Japonais | ja_JP |
| Coréen | ko_KR |
| Lituanien | lt_LT |
| Norvégien (Bokmål) | nb_NO |
| Néerlandais | nl_NL |
| Polonais | pl_PL |
| Portugais (Brésil) | pt_BR |
| Portugais | pt_PT |
| Russe | ru_RU |
| Suédois | sv_SE |
| Thaï | th_TH |
| Turc | tr_TR |
| Ukrainien | uk_UA |
| Chinois simplifié | zh_CN |
| Chinois traditionnel | zh_TW |
Pour les utilisateurs pour lesquels aucun paramètre régional n'est défini, Looker utilise celui choisi sur la page Localisation du panneau Admin comme paramètre régional par défaut. Si aucun paramètre régional n'y est défini, Looker utilise en par défaut.
Définition d'un paramètre régional personnalisé
Les développeurs de Looker peuvent créer des paramètres régionaux personnalisés à utiliser uniquement pour la localisation de modèles. Les codes de paramètres régionaux personnalisés sont désignés par les titres des fichiers de chaînes créés lors du processus de localisation du modèle. Pour appliquer ces paramètres régionaux personnalisés, suivez les étapes suivantes :
Saisissez le code des paramètres régionaux personnalisés dans le champ Paramètres régionaux. Lorsque vous commencez la saisie dans le champ, tout texte préexistant disparaît.
Cliquez sur Créer "your_custom_locale_code".
Cliquez sur Enregistrer au bas de la page. Le code sera ajouté au menu déroulant des paramètres régionaux de l'utilisateur.
L'IU de Looker ne prend pas en charge les paramètres régionaux personnalisés. Si vous utilisez un paramètre régional personnalisé dans le champ Paramètre régional d'un utilisateur, l'interface utilisateur de cet utilisateur est définie par défaut sur la langue définie dans le paramètre régional de l'instance.
Format numérique
Le paramètre de format numérique par défaut de Looker concernant les chiffres affichés dans les tables de données et les visualisations est 1,234.56. Cependant, le format numérique peut être défini sur l'un des formats suivants :
- 1,234.56 : milliers séparés par des virgules ; décimales séparées par un point.
- 1.234,56 : milliers séparés par des points ; décimales séparées par une virgule.
- 1 234,56 : milliers séparés par des espaces ; décimales séparées par une virgule.
Pour en savoir plus et obtenir des exemples d'utilisation du paramètre Format numérique, consultez la page de documentation Localisation des formats numériques.
Fuseau horaire
Si vous avez activé les fuseaux horaires spécifiques à l'utilisateur dans votre instance Looker, vous pouvez sélectionner le fuseau horaire qui sera utilisé lorsque cet utilisateur exécutera une requête dans Looker.
Envoyer un lien de configuration / Envoyer un lien de réinitialisation
Si l'utilisateur ne s'est jamais connecté auparavant, ce bouton porte l'indication Envoyer un lien de configuration. Si l'utilisateur s'est déjà connecté auparavant, ce bouton porte l'indication Envoyer un lien de réinitialisation. Pour définir ou réinitialiser un mot de passe, vous pouvez cliquer sur ce bouton pour envoyer un lien à l'adresse e-mail de l'utilisateur que vous avez spécifiée auparavant. Pour en savoir plus sur les exigences relatives à l'utilisation de mots de passe complexes dans Looker, consultez la page de documentation Exigences en matière de mots de passe. L'utilisateur dispose d'une heure pour réinitialiser son mot de passe. Passé ce délai, le lien de réinitialisation expire.
Secret à deux facteurs
Cette option apparaît si vous avez activé l'authentification à deux facteurs (A2F) sur votre instance. Cliquez sur le bouton Réinitialiser pour réinitialiser l'authentification à deux facteurs pour l'utilisateur. Looker invite alors l'utilisateur à scanner à nouveau un code QR avec l'application Google Authenticator lors de la tentative suivante de connexion à l'instance Looker.
Clés API
Une clé API permet d'accéder à l'API Looker. Les clés API sont créées par Looker et se composent d'un ID client et d'un code secret du client. Une clé API est nécessaire pour exécuter les commandes de l'API Looker.
Pour générer des clés API, cliquez sur le bouton Modifier les clés. La page Modifier les clés API de l'utilisateur s'ouvre et affiche les clés API existantes. Cliquez sur le bouton Nouvelle clé API pour générer une clé.
Les clés API ont les mêmes autorisations que le compte utilisateur à partir duquel elles ont été créées.
La bonne pratique consiste à créer des comptes utilisateur dédiés pour les scripts API : un compte utilisateur pour chaque script. Ainsi, vous pourrez configurer un compte utilisateur avec un ensemble d'autorisations spécifiques pour que le script puisse exécuter sa fonction et uniquement sa fonction. Par exemple, pour un script API exécutant des requêtes, vous pouvez créer un compte utilisateur uniquement avec l'autorisation access_data.
Les comptes utilisateur dédiés aux scripts d'API vous permettent d'accroître la sécurité en compartimentant l'accès à un script. De plus, si vous devez arrêter un script, vous pouvez désactiver (ou supprimer) le compte utilisateur de ce script. Veillez à lire la section Suppression d'un accès utilisateur de cette page avant de supprimer tout compte utilisateur.
Groupes
Liste les groupes dont l'utilisateur est membre. Vous pouvez ajouter l'utilisateur à un nouveau groupe en sélectionnant ce groupe dans le menu déroulant ou le supprimer d'un groupe en cliquant sur X à côté du nom du groupe dans la liste.
Il est également possible d'ajouter des utilisateurs à des groupes sur la page Groupes du panneau Admin.
Rôles
Liste les rôles attribués à l'utilisateur. Vous pouvez attribuer un nouveau rôle à l'utilisateur en le sélectionnant dans la liste déroulante ou supprimer un rôle en cliquant sur X à côté du nom du rôle dans la liste.
Il est également possible d'ajouter des rôles sur la page d'administration Rôles.
Attributs utilisateur
Définit et annule les valeurs des attributs utilisateur. Les valeurs attribuées à chaque utilisateur remplacent toujours celles attribuées suite à une inscription dans un groupe. Les paramètres système ne sont pas modifiables.
Suppression d'un accès utilisateur
Pour qu'un utilisateur n'ait plus accès à Looker, vous pouvez soit désactiver son compte, soit le supprimer. Dans la plupart des cas, il est recommandé de désactiver le compte.
Les différences entre la désactivation et la suppression d'un compte utilisateur sont décrites dans le tableau suivant :
| Description | Désactivé | Supprimé |
|---|---|---|
| L'utilisateur peut se connecter à l'instance Looker | Non | Non |
| Dossier personnel de l'utilisateur | Conservé | Supprimé |
| Présentations et tableaux de bord du dossier personnel de l'utilisateur | Conservés | Déplacé vers le dossier Corbeille |
| Présentations et tableaux de bord enregistrés par l'utilisateur dans un dossier partagé | Conservés dans le dossier partagé | Conservés dans le dossier partagé |
| Planifications créées par l'utilisateur | Planifications désactivées | Planifications supprimées |
| Planifications basées sur le contenu de l'utilisateur, mais créées par un autre utilisateur | Exécution des planifications conservée | Contenu de l'utilisateur supprimé ; les planifications basées sur ce contenu sont supprimées |
| Planifications recensant cet utilisateur comme un destinataire et créées par un autre utilisateur ayant la capacité d'envoyer du contenu à des comptes liés à des adresses e-mail externes | L'exécution et l'envoi des planifications seront conservés (l'utilisateur sera considéré comme un utilisateur externe) | Exécution et envoi des planifications conservés (l'utilisateur est considéré comme un utilisateur externe) |
| Planifications ayant l'option Exécuter la planification en tant que destinataire activée et recensant l'utilisateur comme destinataire | Exécution des planifications conservée mais échec de l'envoi à l'utilisateur désactivé lors de la prochaine exécution | Exécution des planifications conservée mais échec de l'envoi à tous les utilisateurs avec l'erreur run_as_recipient was specified on ScheduledPlan but recipient is not a Looker user |
| Tableaux de bord créés par l'utilisateur | Conservés | Conservés |
| Alertes créées par l'utilisateur | Restent actives mais ne sont pas visibles et ne peuvent pas être modifiées à partir du tableau de bord sur lequel elles sont définies, sauf si un administrateur les a attribuées à lui-même. Les administrateurs peuvent modifier l'alerte ou se l'attribuer eux-mêmes sur la page d'administration Alertes du panneau Admin. | Les alertes sont immédiatement supprimées des tableaux de bord et de la page d'administration Alertes du panneau Admin. |
| Informations concernant l'historique d'utilisation individuelle | Conservées | Supprimées en majorité |
Désactivation d'utilisateurs
Pour empêcher un accès utilisateur à Looker, il est typiquement recommandé de désactiver le compte de cet utilisateur. Lorsque vous désactivez le compte d'un utilisateur, l'historique d'utilisation et les contenus personnels sont conservés. Pour en savoir plus sur la différence entre la désactivation et la suppression d'utilisateurs, consultez le tableau de la section Supprimer l'accès à un compte utilisateur sur cette page.
Si vous utilisez une instance Looker (Google Cloud Core), la désactivation d'un utilisateur n'affecte pas ses autorisations IAM. Supprimez les autorisations IAM Looker pour vous assurer qu'un utilisateur ne peut pas accéder à l'instance.
Pour désactiver un compte utilisateur, sélectionnez Désactiver l'utilisateur dans le menu à trois points Options à droite de la ligne de l'utilisateur.
Supprimer des comptes utilisateur
Au lieu de supprimer un utilisateur, envisagez de désactiver son compte. Cette action empêche un utilisateur de se connecter, mais ses informations, son contenu et son historique restent intacts. Pour en savoir plus sur la différence entre la désactivation et la suppression d'utilisateurs, consultez le tableau de la section Supprimer l'accès à un compte utilisateur sur cette page.
Si vous utilisez une instance Looker (Google Cloud Core), la suppression d'un utilisateur n'affecte pas ses autorisations IAM. Supprimez les autorisations IAM Looker pour vous assurer qu'un utilisateur ne peut pas accéder à l'instance.
Pour supprimer un compte utilisateur, sélectionnez Supprimer l'utilisateur dans le menu à trois points Options à droite de la ligne de l'utilisateur.
Emprunt de l'identité d'utilisateurs (commande Sudo)
Cette commande d'émulation vous permet d'utiliser Looker comme si vous étiez un autre utilisateur, avec tous ses privilèges et capacités.
La commande Sudo est également un moyen utile de valider que vous avez bien configuré les autorisations ainsi que d'autres fonctionnalités ou d'afficher le développement LookML d'un utilisateur avant de valider et de mettre en production ses modifications.
Les autorisations see_users et sudo sont toutes deux requises pour exécuter une commande Sudo en tant qu'autre utilisateur. Les administrateurs peuvent se substituer à n'importe quel utilisateur, y compris aux autres administrateurs. Les utilisateurs non-administrateurs peuvent uniquement emprunter l'identité d'autres utilisateurs non-administrateurs.
Pour emprunter l'identité d'un utilisateur, sélectionnez Sudo sous l'identité de cet utilisateur dans le menu à trois points Options à droite de la ligne de l'utilisateur :
Une barre affichée en haut de l'écran vous signale que vous utilisez une commande Sudo. Que vous pouvez y mettre un terme. Toute modification apportée pendant l'utilisation de cette commande va se répercuter sur le compte de l'utilisateur que vous émulez.
Si vous êtes en mode Développement, vos modifications ne sont pas visibles par les autres utilisateurs tant que vous ne les avez pas déployées en production. Si vous n'avez pas déployé vos modifications pour que d'autres utilisateurs puissent les voir, elles n'apparaîtront pas lorsque vous exécuterez la commande Sudo sur un autre utilisateur.
Exécuter la commande Sudo en tant qu'utilisateur connecté à une intégration et interagir directement avec une instance Looker au lieu de passer par un iFrame intégré risque de produire des résultats inattendus. Outre les restrictions de leurs autorisations habituelles, les utilisateurs intégrés connectés sont limités par l'iFrame intégré. Cependant, ces restrictions peuvent ne pas exister en cas d'exécution de la commande Sudo en tant qu'utilisateur intégré connecté et d'interaction extérieure à un iFrame.
Pour les connexions à des bases de données qui utilisent OAuth, comme Snowflake et Google BigQuery, un administrateur qui se fait passer pour un autre utilisateur utilisera le jeton d'accès OAuth de l'utilisateur usurpé lorsqu'il exécutera des requêtes. Dans le cas de connexions à Snowflake, si le jeton d'accès de l'utilisateur a expiré, l'administrateur ne peut pas créer de nouveau jeton pour le compte de l'utilisateur faisant l'objet de la commande Sudo. L'utilisateur doit se connecter à Snowflake et autoriser à nouveau Looker.