不同的内容访问权限级别决定了哪些用户可以查看和修改 Looker 文件夹中的内容。权限 是根据用户的角色与用户关联的,而 内容访问权限 与文件夹关联,并定义了文件夹对不同级别用户的开放程度。
文件夹的访问权限类型
您可以为每个 Looker 用户或群组分配以下两种访问权限级别之一,以访问任何给定文件夹:
查看:具有此访问权限级别的用户可以查看文件夹是否存在,可以查看其中的 Look 和信息中心,还可以复制文件夹中的 Look 和信息中心。
管理访问权限、修改:具有此访问权限级别的用户可以执行 查看 访问权限级别允许的所有操作,还可以对文件夹进行更改,例如:
如需详细了解内容访问权限和权限,请参阅控制用户内容访问权限和内容访问权限和权限的互动方式。
文件夹的开放式和封闭式访问权限系统
Looker 的设置可帮助您根据公司的政策以及将与文件夹互动的用户类型来构建用户访问权限。一般来说,您设计的系统将属于以下三大类之一:完全开放、开放但有限制或封闭。
| 文件夹的访问权限级别 | 说明 | 推荐用途 |
|---|---|---|
| 完全开放 | 所有用户都可以查看和修改所有共享内容。这是 Looker 的默认配置。 | 对于使用 Looker 的小型公司或团队、制定了开放式数据政策的公司以及将共享可修改报告作为主要用例的公司,建议使用开放式系统。 |
| 开放但有限制 | 对共享内容的访问权限受到某种限制,因此只有部分人员可以修改某些内容,或者某些内容对某些人员完全不可见。 | 对于中型或大型团队和公司、用户群体高度多样化(报告与所有人无关)的公司,或者希望所有人都可以查看内容但只有少数人可以修改内容的公司,建议使用开放但有限制的系统。 |
| 封闭 | 此系统也称为多租户安装,可将内容隔离到特定群组,并阻止不同群组的用户了解彼此。 | 为了保护客户的私人信息,我们强烈建议在私标和已签名的嵌入用例中使用封闭式系统,因为在这些用例中,客户会将客户端托管到系统中,这些客户端可能来自不同的公司或群组,并且不应了解彼此。 |
确定所需的系统类型后,本页将引导您完成配置步骤。对于初始设置,我们建议使用内容访问权限 部分的管理 面板,因为您可以在这里集中更改每个文件夹的访问权限。
文件夹的访问权限对其子文件夹的影响
在决定系统的开放程度或封闭程度之前,请务必了解您在父文件夹中设置的访问权限级别将如何影响其子文件夹,以及您可以在层次结构中较低级别更改哪些内容,以及无法更改哪些内容。
| 访问类型 | 继承模式 | 说明 |
|---|---|---|
| 管理访问权限、修改 | 沿文件夹层次结构向下传递 | 如果您向用户授予文件夹的管理访问权限、修改 权限,他们将保留对该文件夹中所有 Look、信息中心和子文件夹的访问权限级别。您无法在文件夹层次结构的较低部分锁定他们的访问权限。 |
| 查看 | 可以在文件夹层次结构的任何位置移除 | 在文件夹级别移除查看 访问权限会撤消用户查看该文件夹及其所有内容的能力。您还可以在层次结构中较低的任何位置移除查看 访问权限,以限制用户查看原本可查看的文件夹中的特定 Look、信息中心或子文件夹。 |
Looker 管理员拥有对所有文件夹的管理访问权限、修改 权限,因此也拥有对所有内容的管理访问权限、修改 权限。这可确保他们能够管理系统、防止内容孤立,并帮助遇到问题的任何用户。
配置完全开放的系统
Looker 的默认配置允许对所有文件夹进行完全开放的访问。所有用户 群组被分配了对共享文件夹的管理访问权限、修改 权限,并且共享文件夹中的所有子文件夹都将继承该访问权限。您可以在管理 面板的内容访问权限 部分管理此设置。
如果用户拥有对文件夹的管理访问权限、修改 权限,他们还拥有对该文件夹中所有内容的管理访问权限、修改 权限,包括其下的所有子文件夹。这意味着此系统中的内容访问权限没有任何限制。
个人文件夹存在于单独的层次结构中,并且也有默认设置。所有用户 群组被设置为对所有个人文件夹的查看 权限。如果用户希望自己的个人文件夹是私密的,则可以选择从个人文件夹中移除此群组。
配置开放但有限制的系统
以下步骤将帮助您配置开放但有限制的系统:
规划结构
您希望允许哪些人查看和修改特定文件夹?如果您在开始配置访问权限之前先草拟计划,工作会更轻松。 您还可以在完成流程时勾选更改,这样就不必返回来检查各个文件夹。将用户分组有助于您管理公司内不同部门或团队的访问权限。
最常见的配置之一是为每个部门或团队设置一个文件夹,如下所示:
- 在共享文件夹中,为部门、团队或项目创建一个文件夹。在本部分中,我们将以财务团队为例。
- 向首席财务官(或财务部门的主要分析师)授予对该文件夹的管理访问权限、修改 权限。向团队的其他成员授予查看 权限。
- 创建两个子文件夹:一个用于可修改的内容,另一个用于只读内容。如果需要,可以添加第三个子文件夹用于私密内容。
- 在可修改内容的子文件夹中,使用财务群组向整个财务团队授予管理访问权限、修改 权限。向财务群组授予该级别的访问权限后,其所有成员都可以在该子文件夹中添加、删除或更改内容。
- 在只读内容的子文件夹中,向整个财务群组授予查看 权限。首席财务官仍然能够管理访问权限、修改 此文件夹中的内容,因为他们从主财务文件夹继承了该访问权限。
- 在(可选)私密子文件夹中,完全移除财务群组。只有首席财务官可以查看此文件夹或管理其内容。
配置群组以提供精细的访问权限
如果您计划限制对内容的访问权限,Looker 群组可让您轻松实现此目的。您可以像向用户授予文件夹和子文件夹的访问权限一样,向群组授予文件夹和子文件夹的访问权限,并且群组可以包含其他群组。如需了解如何配置群组,请参阅群组页面。
首先为各个子文件夹设置访问权限,然后逐步为整个共享文件夹设置访问权限。由于访问权限会沿文件夹层次结构向下传递,因此最安全的方法是先单独操作最低级别的子文件夹的访问权限。然后,您可以逐步操作父级文件夹,为它们授予所需的访问权限级别,并确保所做的更改不会与您在较低级别做出的决定冲突。
在此示例中,我们将从共享文件夹中的子文件夹开始。您可以在管理 面板的内容访问权限 部分管理这些设置:
- 将共享文件夹中的每个文件夹设置为自定义用户列表 。
向您希望能够修改内容的用户和群组分配管理访问权限、修改 权限。
向您希望拥有只读访问权限的用户和群组分配查看 权限。
在您更改顶级共享文件夹的设置之前,任何更改都不会生效。所有用户 群组的访问权限级别在共享文件夹中设置为管理访问权限、修改 ,并沿所有各个子文件夹向下传递。在共享文件夹中更改该群组的访问权限级别之前,您无法修改各个子文件夹中所有用户 的设置。
点击要配置的文件夹,然后点击管理访问权限 。
将所有用户 群组对共享文件夹的访问权限更改为查看
此时,您的更改将生效。请务必参考您的结构计划。
首先,除非您希望每个人都拥有对系统中所有内容的修改权限,否则请点击共享文件夹的管理访问权限 ,并将所有用户 从管理访问权限、修改 更改为查看 。
然后,如果您计划仅向特定群组显示某些子文件夹,请继续下一部分。
从您不希望查看的文件夹中移除所有用户 群组
如需将文件夹设为仅对特定用户子群组私密,请使用文件夹访问权限级别右侧的 X 从这些文件夹中完全移除所有用户 。现在,该文件夹将仅显示给您明确列出的用户和群组。
配置封闭式系统
Looker 提供了一个封闭式系统 选项,该选项会进行以下更改:
- 移除所有用户 群组。您将无法将系统中的所有用户作为一个群组来引用。相反,Looker 管理员应为每个租户或客户创建一个群组,如配置群组以提供精细的访问权限部分中所述。在此讨论中,我们将假定每个客户都是一家公司。
- 默认情况下,所有用户文件夹和面板都是私密的。用户仍然可以选择与群组的其他成员共享其文件夹中的内容。
阻止用户查看其他用户,除非他们共享一个群组。因此,如果用户是 C 公司群组的成员,则该用户将仅看到 C 公司的其他成员,而不会看到 A 公司和 B 公司的成员。
首页:最近查看的内容是 Looker 中一个示例,在该示例中,用户将仅看到 C 公司的其他成员及其内容。
以下步骤将帮助您配置封闭式系统:
- 请求封闭式系统 选项。
- 规划结构。
- 配置群组以提供精细的访问权限。
- 在管理 面板中启用封闭式系统。
- 为系统中的每个公司群组授予对共享文件夹的查看 权限。
- 为共享文件夹的每个子文件夹配置访问权限级别。
- 将内容迁移到子文件夹中。
这些步骤假定共享文件夹中没有多租户用户的内容。如需在封闭式系统下隔离内容并阻止客户或其他群组查看彼此,请在开始执行以下步骤之前,将任何此类内容移出共享文件夹并移到单独的子文件夹中。
请求封闭式系统选项
如需请求为您的实例启用封闭式系统 选项,请与 Google Cloud 销售专员联系或提出支持请求。
规划结构
如果您提前设置了计划,则设置系统会容易得多。您需要考虑两个主要方面:
首先,请务必为每家公司创建一个群组。公司群组会将每家公司的所有用户关联在一起,并使这些用户与其他公司分开。
其次,请考虑您是否希望让多家公司查看同一个文件夹(例如,对于与所有公司相关的信息中心),或者是否希望为每家公司设置一个顶级文件夹(对于仅适用于单个公司的不同内容)。
配置群组以提供精细的访问权限
虽然每家公司至少应有一个群组,但该较大群组中也可能包含子群组。如果您希望允许公司中的某些用户修改和管理内容,同时允许其他用户仅查看内容,则可以为不同类型的用户创建单独的子群组。例如,您可以先创建公司 A 作为总群组,然后添加两个子群组:公司 A 的编辑者 和公司 A 的查看者 。
如需了解如何配置群组,请参阅群组文档页面。
在管理 面板中启用“封闭式系统”选项
最好在对文件夹设置任何访问权限控制之前启用封闭式系统 选项,因为启用封闭式系统 选项会对系统进行更改(请参阅本页上配置封闭式系统简介)。此选项位于 Looker 的管理 部分的常规 面板的设置 部分中。
为每个公司群组授予对共享文件夹的查看权限
为共享文件夹中的每个公司群组授予查看 权限。这样,这些群组的成员就可以访问共享文件夹,并查看其中自己公司的文件夹。如果群组没有对共享文件夹的查看 权限,则无法看到自己公司的文件夹。您可以在管理 面板的内容访问权限 部分管理这些设置。
为每个子文件夹配置访问权限级别
设置访问权限级别,以确定哪些人可以查看或修改每个子文件夹中的内容。在您更改子文件夹的访问权限级别之前,子文件夹默认采用其父文件夹的访问权限设置。这意味着,如果某公司拥有对共享文件夹的查看 权限,则可以查看另一公司的子文件夹中的内容,除非您限制对该子文件夹的访问权限。请查看每个子文件夹并适当限制访问权限。
将内容迁移到子文件夹中
如果您的公司允许用户查看自己的文件夹和其他个人文件夹,我们建议您将这些个人文件夹中的所有内容迁移到主共享层次结构中的相应文件夹中。