Mit verschiedenen Zugriffsebenen für Inhalt wird festgelegt, welche Nutzer in Looker Ordnern Inhalt anzeigen und bearbeiten können. Während Berechtigungen einem Nutzer entsprechend seiner Rolle zugewiesen werden, ist der Zugriff auf Inhalte mit einem Ordner verknüpft und definiert, wie offen der Ordner für Nutzer auf verschiedenen Ebenen ist.
Zugriffsarten für Ordner
Jedem Looker-Nutzer oder jeder Looker-Gruppe kann für einen bestimmten Ordner eine von zwei Zugriffsebenen zugewiesen werden:
Ansehen: Mit dieser Zugriffsebene kann ein Nutzer sehen, dass ein Ordner vorhanden ist, die darin enthaltenen Looks und Dashboards ansehen und die Looks und Dashboards im Ordner kopieren.
Zugriff verwalten, Bearbeiten: Mit dieser Zugriffsebene kann ein Nutzer alle Aktionen ausführen, die auch mit der Zugriffsebene Ansehen möglich sind, und darüber hinaus Änderungen am Ordner vornehmen, wie zum Beispiel:
Weitere Informationen zum Zugriff auf Inhalte und zu Berechtigungen finden Sie unter Zugriff auf Nutzerinhalte steuern und Zusammenspiel von Zugriff auf Inhalte und Berechtigungen.
Offene und geschlossene Systeme für den Zugriff auf Ordner
Mit den Einstellungen von Looker können Sie den Nutzerzugriff entsprechend den Richtlinien Ihres Unternehmens und den Arten von Nutzern strukturieren, die mit Ihren Ordnern interagieren. Grundsätzlich ist das von Ihnen erstellte System einen von drei grundsätzlichen Kategorien zuzuordnen: vollständig offen, offen mit Einschränkungen oder geschlossen.
| Zugriffsebenen für Ordner | Beschreibung | Empfohlene Verwendung |
|---|---|---|
| Vollständig offen | Alle Nutzer können alle geteilten Inhalte anzeigen und bearbeiten. Dies ist die Standardkonfiguration von Looker. | Ein offenes System wird für kleine Unternehmen oder Teams empfohlen, die mit Looker arbeiten, für Unternehmen mit offenen Datenrichtlinien und Unternehmen, in denen die Freigabe bearbeitbarer Berichte im Vordergrund steht. |
| Offen mit Einschränkungen | Der Zugriff auf geteilte Inhalte ist in irgendeiner Weise eingeschränkt, sodass entweder nur bestimmte Personen bestimmte Inhalte bearbeiten können oder bestimmte Inhalte für bestimmte Personen vollständig unsichtbar sind. | Ein offenes System mit Einschränkungen wird für mittelgroße oder größere Teams und Unternehmen, sehr unterschiedliche Nutzergruppen, bei denen Berichte nicht für alle relevant sind, oder Unternehmen empfohlen, bei denen Inhalte für alle sichtbar, aber nur von wenigen bearbeitbar sein sollen. |
| Geschlossen | Dieses System wird auch als Multi-Tenant-Installation bezeichnet. Hier werden Inhalte nach bestimmten Gruppen in Silos zusammengefasst, und es wird verhindert, dass sich Nutzer aus verschiedenen Gruppen untereinander kennen. | Um die privaten Informationen Ihrer Kunden zu schützen, empfehlen wir dringend, ein geschlossenes System für Fälle mit Privatlabel und signierter Einbettung zu verwenden, wenn Kunden Clients in das System hosten, die gegebenenfalls von anderen Unternehmen oder Gruppen stammen und nichts voneinander wissen sollen. |
Nachdem Sie das gewünschte System festgelegt haben, finden Sie auf dieser Seite die notwendigen Schritte zur Konfiguration. Für die Ersteinrichtung empfehlen wir den Abschnitt Zugriff auf Inhalte des Admin -Bereichs, da Sie dort Änderungen an jedem Ordner an einer zentralen Stelle vornehmen können.
So wirkt sich der Zugriff auf einen Ordner auf die untergeordneten Ordner aus
Bevor Sie entscheiden, wie offen oder geschlossen Ihr System sein soll, müssen Sie wissen, wie sich die Zugriffsebenen, die Sie für übergeordnete Ordner festlegen, auf die dazugehörigen untergeordneten Ordner auswirken und was Sie auf unteren Ebenen in der Hierarchie ändern können und was nicht.
| Zugriffstyp | Vererbungsmuster | Beschreibung |
|---|---|---|
| Zugriff verwalten, Bearbeiten | Wandert die gesamte Ordnerhierarchie nach unten | Nachdem Sie einem Nutzer Zugriff auf Zugriff verwalten, Bearbeiten in einem Ordner erteilt haben, erhält er diese Zugriffsebene für alle Looks, Dashboards und untergeordneten Ordner in diesem Ordner. Sie können den Zugriff auf einer niedrigeren Hierarchieebene des Ordners nicht mehr einschränken. |
| Ansehen | Kann an jeder Stelle in der Hierarchie des Ordners entfernt werden | Wenn Sie den Zugriff Ansehen auf Ordner-Ebene entfernen, wird die Möglichkeit eines Nutzers widerrufen, diesen Ordner und alle seine Inhalte zu sehen. Sie können den Zugriff Ansehen auch an einer beliebigen Stelle weiter unten in der Hierarchie entfernen, um zu verhindern, dass Nutzer bestimmte Looks, Dashboards oder untergeordnete Ordner in einem ansonsten sichtbaren Ordner ansehen. |
Looker-Administratoren haben den Zugriff Zugriff verwalten, Bearbeiten für alle Ordner und somit auf alle Inhalte. So können sie das System verwalten, jeglichen verwaisten Inhalt verhindern und Nutzern bei Problemen helfen.
Vollständig offene Systeme konfigurieren
Die Standardkonfiguration von Looker ermöglicht vollständig offenen Zugriff auf alle Ordner. Der Gruppe Alle Nutzer wird der Zugriff Zugriff verwalten, Bearbeiten für den geteilten Ordner zugewiesen und alle untergeordneten Ordner im geteilten Ordner erben diesen Zugriff. Verwalten Sie diese Einstellung im Abschnitt Zugriff auf Inhalte des Admin -Bereichs.
Wenn ein Nutzer den Zugriff Zugriff verwalten, Bearbeiten für einen Ordner hat, hat er auch den Zugriff Zugriff verwalten, Bearbeiten für alle Inhalte in diesem Ordner, einschließlich aller untergeordneten Ordner. Das heißt, es gibt in diesem System keinerlei Beschränkungen für den Zugriff auf Inhalte.
Persönliche Ordner haben eine eigene Hierarchie und verfügen über Standardeinstellungen. Für alle persönlichen Ordner ist die Gruppe Alle Nutzer auf Ansehen festgelegt. Jeder Nutzer kann diese Gruppe aus seinem persönlichen Ordner entfernen, wenn er möchte, dass sein persönlicher Ordner privat ist.
Offene Systeme mit Einschränkungen konfigurieren
Mit diesen Schritten können Sie ein offenes System mit Einschränkungen konfigurieren:
- Planen Sie Ihre Struktur.
- Konfigurieren Sie Gruppen, um detaillierten Zugriff zu gewähren.
- Ändern Sie den Zugriff der Gruppe Alle Nutzer auf Ansehen für den geteilten Ordner.
- Entfernen Sie Alle Nutzer aus allen Ordnern, die nicht für das gesamte Unternehmen sichtbar sein sollen.
Planen Sie Ihre Struktur
Wer soll bestimmte Ordner anzeigen und bearbeiten können? Es wird Ihnen das Leben erleichtern, wenn Sie Ihren Plan skizzieren, bevor Sie mit der Konfiguration des Zugriffs beginnen. So können Sie auch Änderungen abhaken, während Sie den Prozess durchlaufen, und müssen nicht zu verschiedenen Ordnern zurückkehren, um sie zu überprüfen. Wenn Sie Nutzer in Gruppen einteilen, können Sie den Zugriff für verschiedene Abteilungen oder Teams in Ihrem Unternehmen verwalten.
Eine der häufigsten Konfigurationen besteht aus einem Ordner pro Abteilung oder Team. Das sieht dann ungefähr so aus:
- Erstellen Sie in Ihrem geteilten Ordner einen Ordner für eine Abteilung, ein Team oder ein Projekt. In diesem Abschnitt orientieren wir uns an einem Beispiel für ein Finanzteam.
- Weisen Sie dem CFO (oder dem Hauptanalysten für Finanzen) den Zugriff Zugriff verwalten, Bearbeiten für diesen Ordner zu. Gewähren Sie dem Rest des Teams den Zugriff Ansehen.
- Erstellen Sie zwei untergeordnete Ordner: einen für bearbeitbaren Inhalt und einen für schreibgeschützten Inhalt. Fügen Sie gegebenenfalls einen dritten untergeordneten Ordner für privaten Inhalt hinzu.
- Gewähren Sie im untergeordneten Ordner für bearbeitbaren Inhalt dem gesamten Finanzteam den Zugriff Zugriff verwalten, Bearbeiten über eine Finanzgruppe. Wenn Sie der Gruppe „Finanzen“ diese Zugriffsebene gegeben haben, können alle darin enthaltenen Mitglieder Inhalt in diesem untergeordneten Ordner hinzufügen, löschen oder ändern.
- Gewähren Sie im untergeordneten Ordner für schreibgeschützten Inhalt der gesamten Finanzgruppe den Zugriff Ansehen. Der CFO verfügt weiterhin über den Zugriff Zugriff verwalten, Bearbeiten in diesem Ordner, da er diesen Zugriff vom Haupt-Finanzordner erbt.
- Entfernen Sie im (optionalen) privaten untergeordneten Ordner die Gruppe „Finanzen“ vollständig. Nur der CFO kann diesen Ordner sehen beziehungsweise dessen Inhalt verwalten.
Konfigurieren Sie Gruppen, um detaillierten Zugriff zu gewähren
Wenn Sie den Zugriff auf Inhalte einschränken möchten, erleichtern Looker-Gruppen die Arbeit erheblich. Gruppen können genauso Zugriff auf Ordner und untergeordnete Ordner erhalten wie Nutzer. Gruppen können zudem wiederum andere Gruppen enthalten. Informationen zum Konfigurieren von Gruppen finden Sie auf der Seite Gruppen.
Legen Sie zuerst den Zugriff auf einzelne untergeordnete Ordner fest und arbeiten Sie sich dann nach oben, um den Zugriff für den gesamten geteilten Ordner festzulegen. Da Zugriffsberechtigungen in der Hierarchie von Ordnern nach unten weitergegeben werden, besteht die sicherste Lösung darin, diese zunächst für die untergeordneten Ordner auf der niedrigsten Ebene einzeln zu bearbeiten. Danach können Sie sich durch die Ordner auf übergeordneten Ebenen weiter nach oben arbeiten und ihnen die gewünschte Zugriffsberechtigung geben. Somit können Sie sicherstellen, dass keine Konflikte mit Ihren für die unteren Ebenen getroffenen Entscheidungen entstehen.
In diesem Beispiel beginnen wir mit den untergeordneten Ordnern innerhalb des geteilten Ordners. Verwalten Sie diese Einstellungen im Abschnitt Zugriff auf Inhalte des Admin -Bereichs:
- Legen Sie für jeden Ordner im geteilten Ordner Eine benutzerdefinierte Liste von Nutzern fest.
Weisen Sie den Nutzern und Gruppen, die Inhalte bearbeiten können sollen, den Zugriff Zugriff verwalten, Bearbeiten zu.
Weisen Sie den Nutzern und Gruppen, die nur Lesezugriff haben sollen, den Zugriff Ansehen zu.
Bis zur Änderung der Einstellungen für den geteilten Ordner auf oberster Ebene werden keine anderen Änderungen wirksam. Die Zugriffsebene für die Gruppe Alle Nutzer ist im geteilten Ordner auf Zugriff verwalten, Bearbeiten festgelegt und wird an alle einzelnen untergeordneten Ordner weitergegeben. Die Einstellungen für Alle Nutzer können Sie in einem einzelnen untergeordneten Ordner erst dann ändern, wenn die Zugriffsebene für diese Gruppe im geteilten Ordner geändert wurde.
Klicken Sie auf den Ordner, den Sie konfigurieren möchten, und dann auf Zugriff verwalten.
Ändern Sie den Zugriff der Gruppe Alle Nutzer auf Ansehen für den geteilten Ordner
Ihrer Änderungen werden nun wirksam. Denken Sie daran, den Plan für Ihre Struktur zu konsultieren.
Wenn Sie keinen Bearbeitungszugriff für alle Nutzer in Ihrem System einrichten möchten, klicken Sie zunächst auf Zugriff verwalten für den geteilten Ordner und ändern Sie die Einstellung für Alle Nutzer von Zugriff verwalten, Bearbeiten in Ansehen.
Sollten Sie beabsichtigen, bestimmte Unterordner nur für bestimmte Gruppen anzuzeigen, fahren Sie mit dem folgenden Abschnitt fort.
Entfernen Sie die Gruppe Alle Nutzer aus Ordnern, die nicht sichtbar sein sollen
Wenn ein Ordner für eine bestimmte Untergruppe von Nutzern privat sein soll, entfernen Sie Alle Nutzer vollständig aus diesen Ordnern. Verwenden Sie hierzu das X rechts neben der Zugriffsebene des Ordners. Jetzt wird der Ordner nur für die Nutzer und Gruppen angezeigt, die Sie explizit auflisten.
Geschlossene Systeme konfigurieren
Looker bietet eine Option Geschlossenes System , mit der folgende Änderungen vorgenommen werden:
- Entfernt die Gruppe Alle Nutzer. Es gibt keine Möglichkeit, sich auf alle Nutzer im System als eine Gruppe zu beziehen. Stattdessen sollten Looker-Administratoren eine Gruppe pro Mandanten oder Kunden erstellen, wie im Abschnitt Gruppen konfigurieren, um detaillierten Zugriff zu gewähren beschrieben. In diesem Abschnitt gehen wir davon aus, dass jeder Kunde ein Unternehmen ist.
- Alle Benutzerordner werden standardmäßig als privat definiert. Nutzer können weiterhin Inhalte in ihren Ordnern mit anderen Mitgliedern ihrer Gruppe teilen.
Es wird verhindert, dass Nutzer andere Nutzer sehen, die nicht ihrer Gruppe angehören. Wenn also ein Nutzer Mitglied der Gruppe „Unternehmen C“ ist, sieht er nur andere Mitglieder von „Unternehmen C“. Die Mitglieder der Gruppen „Unternehmen A“ und „Unternehmen B“ sieht er nicht.
Die Startseite: Zuletzt angezeigter Inhalt ist ein Beispiel für eine Stelle in Looker, an der der Nutzer nur andere Mitglieder von „Unternehmen C“ und deren Inhalte sieht.
Mit diesen Schritten können Sie ein geschlossenes System konfigurieren:
- Bitten Sie um Verfügbarkeit der Option Geschlossenes System.
- Planen Sie Ihre Struktur.
- Konfigurieren Sie Gruppen, um detaillierten Zugriff zu gewähren.
- Aktivieren Sie das geschlossene System im Admin -Bereich.
- Gewähren Sie jeder Unternehmensgruppe in Ihrem System den Zugriff Ansehen für den geteilten Ordner.
- Konfigurieren Sie die Zugriffsebenen für jeden untergeordneten Ordner der geteilten Ordner.
- Migrieren Sie Inhalte in untergeordnete Ordner.
Bei diesen Schritten wird davon ausgegangen, dass sich in den geteilten Ordnern keine Inhalte für Multi-Tenant-Nutzer befinden. Um Inhalte unter einem geschlossenen System in Silos zu organisieren und zu verhindern, dass Kunden der anderen Gruppen sich gegenseitig sehen, verschieben Sie vor der Ausführung der nachstehenden Schritte solche Inhalte aus dem geteilten Ordner in einzelne untergeordnete Ordner.
Bitten Sie um Verfügbarkeit der Option „Closed System“
Wenn Sie die Option Geschlossenes System für Ihre Instanz aktivieren lassen möchten, wenden Sie sich an einen Google Cloud-Vertriebsspezialisten oder stellen Sie eine Supportanfrage.
Planen Sie Ihre Struktur
Wenn Sie Ihren Plan im Voraus erstellen, ist die Konfiguration Ihres Systems im Folgenden wesentlich einfacher. Dabei sind zwei Hauptbereiche besonders zu berücksichtigen:
Erstens, erstellen Sie für jedes Unternehmen eine eigene Gruppe. In einer Unternehmensgruppe sind alle Nutzer aus dem jeweiligen Unternehmen zusammengefasst und diese Nutzer werden von anderen Unternehmen getrennt behandelt.
Zweitens: Überlegen Sie, ob mehrere Unternehmen einen Ordner sehen sollen (zum Beispiel für alle Unternehmen relevante Dashboards) oder ob für jedes Unternehmen ein eigener Ordner auf der obersten Ebene erstellt werden soll (für spezielle Inhalte, die nur für ein Unternehmen relevant sind).
Konfigurieren Sie Gruppen, um detaillierten Zugriff zu gewähren
Es sollte mindestens eine Gruppe pro Unternehmen geben, aber es können auch Untergruppen innerhalb dieser größeren Gruppe vorhanden sein. Wenn Sie einigen Nutzern in einem Unternehmen die Möglichkeit geben möchten, Inhalte zu bearbeiten und zu verwalten, während andere nur Inhalte ansehen können, können Sie separate Untergruppen für die verschiedenen Nutzertypen erstellen. Sie können beispielsweise damit beginnen, Unternehmen A als übergeordnete Gruppe zu erstellen und dieser zwei Untergruppen hinzufügen: Bearbeiter bei Unternehmen A und Betrachter bei Unternehmen A.
Informationen zum Konfigurieren von Gruppen finden Sie auf der Dokumentationsseite Gruppen.
Aktivieren Sie die Option „Geschlossenes System“ im Admin -Bereich
Es empfiehlt sich, die Option Geschlossenes System vor der Einrichtung aller Zugriffskontrollen für Ordner zu aktivieren, da mit der Aktivierung der Option Geschlossenes System Änderungen an Ihrem System vorgenommen werden (siehe die Einführung zu Geschlossene Systeme konfigurieren auf dieser Seite). Diese Option befindet sich im Abschnitt Einstellungen des Bereichs Allgemein im Admin -Bereich von Looker.
Gewähren Sie jeder Unternehmensgruppe den Zugriff „Ansehen“ für den geteilten Ordner
Gewähren Sie jeder Unternehmensgruppe den Zugriff Ansehen für den geteilten Ordner. Somit können Mitglieder dieser Gruppen auf den geteilten Ordner zugreifen und den Ordner ihres eigenen Unternehmens darin sehen. Verfügt eine Gruppe nicht über den Zugriff Ansehen für den geteilten Ordner, können die darin enthaltenen Nutzer den Ordner ihres eigenen Unternehmens nicht sehen. Verwalten Sie diese Einstellungen im Abschnitt Zugriff auf Inhalte des Admin -Bereichs.
Konfigurieren Sie die Zugriffsebenen für jeden untergeordneten Ordner
Legen Sie Zugriffsebenen fest, um zu definieren, wer Inhalte in den einzelnen untergeordneten Ordnern sehen oder bearbeiten kann. Untergeordnete Ordner erhalten standardmäßig die Zugriffseinstellungen ihrer übergeordneten Elemente, bis Sie diese ändern. Das heißt, dass ein Unternehmen mit dem Zugriff Ansehen für den geteilten Ordner Inhalte im untergeordneten Ordner eines anderen Unternehmens sehen kann, bis Sie den Zugriff auf diesen untergeordneten Ordner einschränken. Überprüfen Sie jeden untergeordneten Ordner und schränken Sie den Zugriff entsprechend ein.
Migrieren Sie Inhalte in untergeordnete Ordner
Verfügt Ihr Unternehmen über Nutzer, die zum Anzeigen ihres eigenen Ordners und anderer persönlicher Ordner berechtigt sind, wird die Migration von allen Inhalten aus diesen persönlichen Ordnern in die entsprechenden Ordner in der geteilten Haupthierarchie empfohlen.