管理 面板的用户 部分中的用户 页面列出了 Looker 实例上的所有用户账号。
查看和搜索用户
用户 页面会显示以下信息:
标签页按类型对用户进行分组:
- 标准用户 标签页显示直接登录 Looker 的用户,他们可以通过常规身份验证流程或 Looker API 登录。
- 嵌入式用户 标签页显示通过第三方应用进行身份验证的已登录嵌入式用户。
- 对于 Looker (Google Cloud Core) 实例,服务账号 标签页显示仅限 API 的服务账号,这些账号通过 Looker API 使用 API 密钥进行身份验证。
- Looker 支持 标签页显示已获授权访问 Looker 实例的 Looker 支持分析师。
过滤列表 字段用于限制显示的用户。您可以按用户 ID、名称或电子邮件地址进行过滤。如需按用户 ID 进行过滤,请输入用户 ID 以显示该用户。对于名称和电子邮件地址,当您输入任何字符串时,显示的列表会显示名称或电子邮件地址包含过滤字段中输入字符串的所有用户。过滤列表 取代了先前版本用户 页面上的搜索功能。
点击用户 列标题会按用户名以升序或降序对表格进行排序。
每行都会列出用户的名称、ID 和电子邮件地址,并包含一个图标,用于指明用户拥有的访问权限类型。将光标悬停在该图标上,即可查看该图标的含义。
点击该行即可修改用户。无法修改的用户会通过用户图标上的锁形图标来指明。这些用户要么是系统创建的(例如“所有用户”群组的成员),要么是由 LDAP、SAML 或 OpenID Connect 协议在外部进行管理。
有效凭据 列列出了用户对 Looker 实例拥有的访问权限类型。
群组 列列出了用户所属的所有 群组。
角色 列列出了分配给用户的全部角色。
点击添加用户按钮即可创建新用户。
点击三点状 选项 菜单即可 停用用户、以用户身份登录或 删除用户。
删除用户是不可逆转的操作。在执行此操作之前,请考虑组织在合规性和安全性方面的需求。
添加用户
如需添加用户,请点击添加用户 按钮。
在添加新用户 页面中,输入或粘贴逗号分隔列表形式的电子邮件地址,然后选择将分配给每个用户的群组和角色。如需查看群组列表,请开始在群组 字段中输入内容;系统会显示包含该文本的所有群组名称。点击保存 按钮即可创建用户,如果您已选中发送设置电子邮件 复选框,系统还会发送注册电子邮件。
修改用户
如需修改用户,请点击该用户所在的行。在修改用户 页面上,根据需要调整以下设置。
账号
启用或停用用户账号。请考虑停用用户账号,而不是将其删除。
名字
添加或修改用户的名字(如果适用)。此字段不需要值,但可用于组织用途。
姓氏
添加或修改用户的姓氏(如果适用)。此字段不需要值,但可用于组织用途。
电子邮件
添加或修改用户的电子邮件地址。当用户登录 Looker 时,电子邮件地址将作为其用户名。
语言区域
语言区域 字段用于为用户设置界面语言和模型语言区域。
如果您希望用户以特定语言查看某些界面文本,Looker 支持下表中显示的界面翻译。在语言区域 字段中输入代码。
如果您希望用户查看一个或多个数据模型的本地化版本,请在语言区域 字段中输入该语言区域的模型字符串文件的标题。
如果您希望用户查看模型本地化和 Looker 的内置界面翻译,则模型的字符串文件应与下表中相应的语言区域代码同名;并且应在语言区域 字段中输入该代码。
如需确认语言区域 设置,请点击页面底部的保存 。
| 语言 | 语言区域代码和字符串文件名 |
|---|---|
| 英语 | en |
| 捷克语 | cs_CZ |
| 德语 | de_DE |
| 西班牙语(西班牙) | es_ES |
| 芬兰语 | fi_FI |
| 法语(加拿大) | fr_CA |
| 法语(法国) | fr_FR |
| 印地语 | hi_IN |
| 意大利语 | it_IT |
| 日语 | ja_JP |
| 韩语 | ko_KR |
| 立陶宛语 | lt_LT |
| 挪威语(博克马尔语) | nb_NO |
| 荷兰语 | nl_NL |
| 波兰语 | pl_PL |
| 葡萄牙语(巴西) | pt_BR |
| 葡萄牙语 | pt_PT |
| 俄语 | ru_RU |
| 瑞典语 | sv_SE |
| 泰语 | th_TH |
| 土耳其语 | tr_TR |
| 乌克兰语 | uk_UA |
| 简体中文 | zh_CN |
| 繁体中文 | zh_TW |
对于未设置语言区域 的用户,Looker 会使用管理 面板的本地化 页面上选择的语言区域作为默认语言区域;如果未在该页面上设置任何语言区域,Looker 会默认使用 en。
设置自定义语言区域
Looker 开发者可以创建自定义语言区域,仅用于模型本地化。自定义语言区域代码由在模型本地化过程中创建的字符串文件的标题指定。如需将该自定义语言区域应用于用户,请执行以下步骤:
在语言区域 字段中输入自定义语言区域代码。当您开始在该字段中输入内容时,所有预先存在的文本都会消失。
点击创建“your_custom_locale_code” 。
点击页面底部的保存 。该代码将添加到用户的语言区域下拉菜单中。
Looker 界面不支持自定义语言区域。如果您在用户的语言区域 字段中使用自定义语言区域,则该用户的界面会默认使用在实例语言区域中设置的语言。
数字格式
Looker 为数据表和可视化图表中显示的数字设置的默认数字格式为 1,234.56 。不过,数字格式可以设置为以下任一格式:
- 1,234.56:千位分隔符为英文逗号;小数分隔符为英文句点
- 1.234,56:千位分隔符为英文句点;小数分隔符为英文逗号
- 1 234,56:千位分隔符为空格;小数分隔符为英文逗号
如需了解详情以及使用数字格式 设置的示例,请参阅本地化数字格式文档页面。
时区
如果您已在 Looker 实例上启用 用户自选时区,则可以选择当此用户在 Looker 中运行查询时将使用的时区。
发送设置链接 / 发送重置链接
如果用户从未登录过,此按钮会标记为发送设置链接 。如果用户之前登录过,此按钮会标记为发送重置链接 。如果您需要设置或重置密码,可以点击此按钮,向您之前指定的用户电子邮件地址发送链接。如需了解如何在 Looker 中指定密码复杂性要求,请参阅密码要求文档页面。如果用户在一小时内未重置密码,密码的重置链接将失效。
双重验证 Secret
如果您已在实例上启用 双重身份验证 (2FA),则会显示此选项。点击重置 按钮即可为用户重置 2FA。这样,当用户下次尝试登录 Looker 实例时,Looker 会提示用户使用 Google 身份验证器应用重新扫描二维码。
API 密钥
API 密钥用于访问 Looker API。API 密钥在 Looker 中创建,包含客户端 ID 和客户端密钥。Looker 需要 API 密钥才能使用 Looker API 执行命令。
在 Looker(原始)实例上,Looker 管理员负责管理用户的 API 密钥。
如需生成 API 密钥,请在管理 > 用户 > 修改用户 页面的 API 密钥 部分中,点击修改密钥 按钮。系统会打开修改用户 API 密钥 页面,并显示现有 API 密钥。点击新建 API 密钥 按钮即可生成新密钥。
在 Looker (Google Cloud Core) 实例上,Looker 管理员负责让各个用户能够管理自己的 API 密钥。
如需让用户能够管理自己的 API 密钥,请在管理 > 用户 > 修改用户 页面的 API 密钥 部分中,使用 API 密钥 字段启用或停用用户为其用户账号创建、查看和删除 API 密钥的功能。
启用用户管理其 API 密钥的功能后,他们可以从其 账号 页面 执行此操作。您还可以点击查看 API 密钥 按钮,打开用户的 API 密钥 页面,您可以在该页面中查看其 API 密钥。
在 Looker (Google Cloud Core) 实例上,Looker 管理员负责管理 仅限 API 的服务账号的 API 密钥。
如需为仅限 API 的服务帐号生成 API 密钥,请在管理 > 用户 > 修改用户 页面的 API 密钥 部分中,点击管理 按钮。系统会打开 API 密钥 页面,并显示所有现有 API 密钥。点击创建新的 API 密钥 按钮即可生成新密钥。
API 密钥与创建它们的相应用户账号具有相同的 权限。
最佳做法是为 API 脚本创建专用用户账号,即每个脚本对应一个用户账号。这样,您就可以为用户账号配置一组特定的权限,让脚本能够执行其功能,并且仅执行其功能。 例如,对于运行查询的 API 脚本,您可以创建一个具有 access_data 权限但没有其他权限的用户账号。
为 API 脚本创建专用用户账号可让您通过对脚本的访问权限进行隔离来提高安全性。此外,如果您需要停止脚本,可以停用(或删除)该脚本的用户账号。在删除任何用户账号之前,请务必阅读本页面的移除用户访问权限部分。
群组
列出用户所属的群组。您可以从下拉列表中选择群组,将用户添加到新群组;也可以点击列表中群组名称旁边的 X,将用户从群组中移除。
角色
列出分配给用户的角色。您可以从下拉列表中选择角色,为用户添加新角色;也可以点击列表中角色名称旁边的 X,从用户中移除角色。
您还可以在角色 管理员页面上添加角色。
用户属性
设置和取消设置用户的 用户属性的值。分配给单个用户的值始终会替换因加入群组而分配的任何值。系统设置无法修改。
移除用户访问权限
如需移除用户对 Looker 的访问权限,您可以停用或删除其账号。在大多数情况下,最佳做法是停用账号。
下表介绍了停用和删除用户账号之间的区别:
| 说明 | 已停用 | 已删除 |
|---|---|---|
| 用户可以登录 Looker 实例 | 否 | 否 |
| 用户的个人文件夹 | 仍然存在 | 已删除 |
| 用户个人文件夹中的 Look 和信息中心 | 仍然存在 | 已移至“回收站”文件夹 |
| 用户保存到共享文件夹的 Look 和信息中心 | 仍然存在于共享文件夹中 | 仍然存在于共享文件夹中 |
| 用户创建的时间表 | 时间表已停用 | 时间表已删除 |
| 基于用户内容但由其他用户创建的时间表 | 时间表继续运行 | 用户的内容已删除;基于该内容的时间表已删除 |
| 将用户列为收件人且由能够向外部电子邮件账号传送内容的其他用户创建的时间表 | 时间表将继续运行并正常传送(用户将被视为外部用户) | 时间表继续运行并正常传送(用户将被视为外部用户) |
| 启用了以收件人身份运行时间表 且将用户列为收件人的时间表 | 时间表将继续运行,但在下次运行时无法传送给已停用的用户 | 时间表继续运行,但无法传送给所有用户,并显示错误 run_as_recipient was specified on ScheduledPlan but recipient is not a Looker user |
| 用户创建的板 | 仍然存在 | 仍然存在 |
| 用户创建的提醒 | 保持活跃状态,但无法在设置提醒的信息中心内查看或修改,除非管理员自行分配。管理员可以在管理 面板的提醒 管理员页面中修改或自行分配提醒。 | 提醒会立即从信息中心和提醒 管理员页面中删除。 |
| 用户的历史使用情况信息 | 已保留 | 大多数已删除 |
停用用户
如需阻止用户访问 Looker,最佳做法通常是停用用户账号。停用用户账号后,系统会保留用户的使用记录和个人内容。如需详细了解停用和删除用户之间的区别,请参阅本页面移除用户访问权限部分中的表格。
如果您使用的是 Looker (Google Cloud Core) 实例,停用用户不会影响该用户的 IAM 权限。移除 Looker IAM 权限,确保用户无法访问实例。
如需停用用户账号,请从用户所在行右侧的三点状选项 菜单中选择停用用户 。
删除用户
请考虑停用用户账号,而不是删除用户。这样可以阻止用户登录,但其信息、内容和记录会保持不变。如需详细了解停用和删除用户之间的区别,请参阅本页面移除用户访问权限部分中的表格。
如果您使用的是 Looker (Google Cloud Core) 实例,删除用户不会影响该用户的 IAM 权限。移除 Looker IAM 权限,确保用户无法访问实例。
如需删除用户账号,请从用户所在行右侧的三点状选项 菜单中选择删除用户 。
模拟用户(以用户身份登录)
以用户身份登录可让您像其他用户一样浏览 Looker,并拥有他们的所有权限和功能。
以用户身份登录也是一种有用的方式,可用于验证您是否已正确配置权限和其他功能,或查看用户在提交和推送更改之前的 LookML 开发。
如需以其他用户身份登录,您需要同时拥有 see_users 和 sudo 权限。管理员可以以任何其他用户(包括其他管理员)的身份登录。非管理员用户只能以其他非管理员用户的身份登录。
如需以用户身份登录,请从用户所在行右侧的三点状选项 菜单中选择以此用户身份登录 :
屏幕顶部会显示一个栏,警告您处于以用户身份登录的状态。这样,您就可以退出以用户身份登录的状态。在此状态下所做的任何更改都会影响您模拟的用户。
如果您处于开发模式,则在将更改部署到生产环境之前,其他用户将无法看到您的更改。如果您尚未部署更改以供其他用户查看,则在以其他用户身份登录时,您将看不到自己的更改。
以已登录嵌入式用户身份登录并直接与 Looker 实例互动(而不是通过嵌入式 iframe)可能会导致意外结果。除了常规权限的任何限制之外,已登录嵌入式用户还会受到嵌入式 iframe 的限制。不过,当有人以已登录嵌入式用户身份登录并在 iframe 之外互动时,这些限制可能不存在。
对于使用 OAuth 的数据库连接(例如 Snowflake 和 Google BigQuery),以其他用户身份登录的管理员在运行查询时将使用以用户身份登录的用户的 OAuth 访问令牌。对于 Snowflake 连接,如果用户的访问令牌已过期,管理员无法代表以用户身份登录的用户创建新令牌;用户必须登录 Snowflake 并重新授权 Looker。