I vari livelli di accesso ai contenuti determinano quali utenti possono visualizzare e modificare i contenuti nelle cartelle Looker. Mentre le autorizzazioni sono associate a un utente in base al suo ruolo, l'accesso ai contenuti è associato a una cartella e definisce il livello di accessibilità della cartella per gli utenti ai vari livelli.
Tipi di accesso alle cartelle
A ogni utente o gruppo di Looker può essere assegnato uno dei due livelli di accesso per una determinata cartella:
Visualizzazione: con questo livello di accesso, un utente può vedere che la cartella esiste, visualizzare look e dashboard al suo interno e copiarli.
Gestione accesso, Modifica: questo livello di accesso consente a un utente di fare tutto ciò che è permesso con il livello di accesso Visualizzazione, nonché apportare modifiche alla cartella, ad esempio:
Per ulteriori informazioni sull'accesso ai contenuti e sulle autorizzazioni, vedi Controllare l'accesso ai contenuti degli utenti e Come interagiscono l'accesso ai contenuti e le autorizzazioni.
Sistemi aperti e chiusi per l'accesso alle cartelle
Le impostazioni di Looker ti aiutano a strutturare l'accesso degli utenti in base alle norme della tua azienda e ai tipi di utenti che interagiranno con le tue cartelle. In generale, il sistema che progetti rientrerà in una delle tre categorie principali: completamente aperto, aperto con restrizioni o chiuso.
| Livello di accesso alle cartelle | Descrizione | Utilizzo consigliato |
|---|---|---|
| Completamente aperto | Tutti gli utenti possono visualizzare e modificare tutti i contenuti condivisi. Questa è la configurazione predefinita di Looker. | Un sistema aperto è consigliato per le piccole aziende o i piccoli team che utilizzano Looker, per le aziende con norme aperte sui dati e per le aziende in cui la condivisione di report modificabili è un caso d'uso principale. |
| Aperto con restrizioni | L'accesso ai contenuti condivisi è limitato in qualche modo, in modo che solo alcune persone possano modificare determinati contenuti o che alcuni contenuti siano completamente invisibili per alcune persone. | Un sistema aperto con restrizioni è consigliato per team e aziende di medie o grandi dimensioni, per basi di utenti molto diversificate in cui i report non sono pertinenti per tutti o per le aziende che vogliono che i contenuti siano visibili a tutti, ma modificabili solo da pochi. |
| Chiuso | Questo sistema, detto anche installazione multitenant, isola i contenuti per certi gruppi e impedisce agli utenti di gruppi diversi di avere informazioni sugli altri. | Per salvaguardare le informazioni private dei clienti, consigliamo vivamente di utilizzare un sistema chiuso per i casi d'uso white label e di incorporamento tramite firma, nei quali i clienti ospitano nel sistema dei client che potrebbero appartenere ad aziende o gruppi diversi e che non devono essere a conoscenza gli uni degli altri. |
Una volta determinato il tipo di sistema che vuoi, questa pagina ti guiderà nella procedura di configurazione. Per la configurazione iniziale, consigliamo di usare la sezione Content Access (Accesso ai contenuti) del riquadro Admin (Amministratore) perché permette di apportare modifiche alle singole cartelle da un unico punto.
Effetto dell'accesso a una cartella sulle relative sottocartelle
Prima di decidere quanto deve essere aperto o chiuso il sistema, è importante comprendere l'effetto che i livelli di accesso configurati sulle cartelle padre possono avere sulle relative sottocartelle e che cosa si può o non si può modificare nei livelli inferiori della gerarchia.
| Tipo di accesso | Pattern di ereditarietà | Descrizione |
|---|---|---|
| Manage Access, Edit (Gestione accesso, Modifica) | Viene ereditato da tutti i livelli inferiori nella gerarchia di cartelle | Quando un utente dispone dell'accesso Manage Access, Edit (Gestione accesso, Modifica) su una cartella, avrà lo stesso livello di accesso per tutti i look, le dashboard e le sottocartelle all'interno di quella cartella. Non potrai bloccare il suo accesso a un livello inferiore della gerarchia di cartelle. |
| View (Visualizzazione) | Può essere rimosso in qualsiasi punto all'interno della gerarchia di cartelle | La rimozione dell'accesso View (Visualizzazione) a livello di cartella revoca la possibilità di un utente di vedere la cartella e tutti i suoi contenuti. Puoi anche rimuovere l'accesso View (Visualizzazione) in qualsiasi punto più in basso nella gerarchia per impedire agli utenti di visualizzare determinati look, dashboard o sottocartelle all'interno di una cartella altrimenti visibile. |
Gli amministratori Looker hanno l'accesso Manage Access, Edit (Gestione accesso, Modifica) su tutte le cartelle e pertanto su tutti i contenuti. In questo modo possono gestire il sistema, evitare contenuti orfani e fornire assistenza agli utenti che riscontrano problemi.
Configurare un sistema completamente aperto
La configurazione predefinita di Looker consente l'accesso completamente aperto a tutte le cartelle. Al gruppo All Users (Tutti gli utenti) è assegnato l'accesso Manage Access, Edit (Gestione accesso, Modifica) sulla cartella Shared (Condivisa) e tutte le sottocartelle al suo interno erediteranno quell'accesso. Questa impostazione può essere gestita dalla sezione Content Access (Accesso ai contenuti) del riquadro Admin (Amministrazione).
Quando un utente dispone dell'accesso Manage Access, Edit (Gestione accesso, Modifica) su una cartella, avrà lo stesso accesso anche su tutti i contenuti della cartella, comprese le relative sottocartelle. In altri termini, non ci sono restrizioni per l'accesso ai contenuti in questo sistema.
Le cartelle personali sono presenti in una gerarchia separata e dispongono anch'esse di impostazioni predefinite. Il gruppo All Users (Tutti gli utenti) è impostato con l'accesso View (Visualizzazione) su tutte le cartelle personali. Ogni utente può scegliere di rimuovere questo gruppo dalla propria cartella personale se vuole che sia privata.
Configurare un sistema aperto con restrizioni
Questi passaggi ti aiuteranno a configurare un sistema aperto con restrizioni:
- Pianifica la struttura.
- Configura i gruppi per un accesso granulare.
- Imposta l'accesso del gruppo All Users (Tutti gli utenti) su View (Visualizzazione) nella cartella Shared (Condivisa).
- Rimuovi All Users (Tutti gli utenti) da qualsiasi cartella che non vuoi sia visibile a tutta l'azienda.
Pianificare la struttura
A chi vuoi consentire di visualizzare e modificare determinate cartelle? Ti semplificherà la vita se pianifichi prima di iniziare a configurare l'accesso. In questo modo, puoi anche spuntare le modifiche man mano che procedi, senza dover tornare indietro per controllare le varie cartelle. L'inserimento degli utenti nei gruppi ti aiuterà a gestire l'accesso per i diversi reparti o team della tua azienda.
Una delle configurazioni più comuni prevede una cartella per reparto o team, in modo simile a questo:
- All'interno della cartella Shared (Condivisa), crea una cartella per un reparto, team o progetto. In questa sezione utilizzeremo l'esempio di un team Finance (Finanza).
- Concedi al CFO, o all'analista principale del team Finance (Finanza), l'accesso Manage Access, Edit (Gestione accesso, Modifica) su quella cartella. Concedi al resto del team l'accesso View (Visualizzazione).
- Crea due sottocartelle, una per i contenuti modificabili e una per i contenuti di sola lettura. Se necessario, aggiungi una terza sottocartella per i contenuti privati.
- Nella sottocartella per i contenuti modificabili, concedi l'accesso Manage Access, Edit (Gestione accesso, Modifica) all'intero team Finance (Finanza) utilizzando un gruppo Finance (Finanza). Una volta concesso questo livello di accesso al gruppo Finance (Finanza), tutti i suoi membri possono aggiungere, eliminare o modificare i contenuti nella sottocartella.
- Nella sottocartella per i contenuti di sola lettura, concedi l'accesso View (Visualizzazione) all'intero gruppo Finance (Finanza). Il CFO avrà comunque l'accesso Manage Access, Edit (Gestione accesso, Modifica) sui contenuti della cartella perché lo eredita dalla cartella Finance (Finanza) principale.
- Nella sottocartella privata (facoltativa), rimuovi completamente il gruppo Finance (Finanza). Solo il CFO può vedere questa cartella o gestirne i contenuti.
Configurare i gruppi per un accesso granulare
Se prevedi di limitare l'accesso ai contenuti, i gruppi di Looker semplificano notevolmente la procedura. Ai gruppi è possibile concedere l'accesso alle cartelle e alle sottocartelle così come accade per gli utenti; inoltre, i gruppi possono contenere altri gruppi. Per informazioni su come configurare i gruppi, consulta la pagina Gruppi.
Prima di tutto, imposta l'accesso per le singole sottocartelle, poi passa ai livelli superiori per impostare l'accesso per l'intera cartella Shared (Condivisa). Dato che l'accesso viene ereditato dai livelli inferiori della gerarchia di cartelle, è più sicuro iniziare modificando l'accesso alle singole sottocartelle di livello più basso. Quindi puoi passare alle cartelle di livello padre, concedendo loro il livello di accesso che vuoi e assicurandoti che le modifiche non siano in conflitto con le decisioni che hai preso ai livelli inferiori.
In questo esempio inizieremo dalle sottocartelle della cartella Shared (Condivisa). Queste impostazioni possono essere gestite dalla sezione Content Access (Accesso ai contenuti) del riquadro Admin (Amministrazione):
- Imposta ogni cartella all'interno della cartella Shared (Condivisa) su A custom list of users (Un elenco personalizzato di utenti).
Assegna l'accesso Manage Access, Edit (Gestione accesso, Modifica) agli utenti e ai gruppi a cui vuoi consentire di modificare i contenuti.
Assegna l'accesso View (Visualizzazione) agli utenti e ai gruppi a cui vuoi concedere l'accesso di sola lettura.
Finché non modifichi le impostazioni per la cartella Shared (Condivisa) di primo livello, non viene applicato nulla. Il livello di accesso per il gruppo All Users (Tutti gli utenti) è impostato su Manage Access, Edit (Gestione accesso, Modifica) nella cartella Shared (Condivisa) e viene ereditato da tutte le sottocartelle. Non è possibile modificare le impostazioni per All Users (Tutti gli utenti) nelle singole sottocartelle finché non si modifica il livello di accesso per quel gruppo nella cartella Shared (Condivisa).
Fai clic sulla cartella che vuoi configurare, quindi fai clic su Manage Access (Gestisci accesso).
Impostare l'accesso del gruppo All Users (Tutti gli utenti) su View (Visualizzazione) nella cartella Shared (Condivisa)
A questo punto le modifiche vengono applicate. Ricorda di consultare il piano per la tua struttura.
Prima di tutto, a meno che tu non voglia che tutti abbiano accesso a tutti i contenuti nel sistema, fai clic su Manage Access (Gestisci accesso) per la cartella Shared (Condivisa) e cambia l'impostazione per All Users (Tutti gli utenti) da Manage Access, Edit (Gestione accesso, Modifica) a View (Visualizzazione).
Quindi, se il tuo piano prevede che alcune sottocartelle siano visibili solo per alcuni gruppi, passa alla sezione successiva.
Rimuovere il gruppo All Users (Tutti gli utenti) dalle cartelle che non vuoi siano visibili
Per rendere una cartella privata per un determinato sottogruppo di utenti, rimuovi completamente All Users (Tutti gli utenti) da queste cartelle utilizzando la X a destra del livello di accesso della cartella. Ora la cartella verrà visualizzata solo per gli utenti e i gruppi che hai elencato esplicitamente.
Configurare un sistema chiuso
Looker offre un'opzione Closed System (Sistema chiuso) che apporta le seguenti modifiche:
- Rimuove il gruppo All Users (Tutti gli utenti). Non sarà possibile in alcun modo fare riferimento a tutti gli utenti nel sistema come gruppo. Gli amministratori di Looker, invece, devono creare un gruppo per tenant, o per cliente, come illustrato nella sezione Configurare i gruppi per un accesso granulare. In questa discussione, presupporremo che ogni cliente sia un'azienda.
- Rende private per impostazione predefinita tutte le cartelle e le bacheche degli utenti. Gli utenti possono comunque scegliere di condividere i contenuti nelle proprie cartelle con altri membri dei loro gruppi.
Impedisce agli utenti di vedere altri utenti a meno che non condividano un gruppo. Quindi, se un utente fa parte del gruppo Company C (Azienda C), vedrà solo gli altri membri di quell'azienda, ma non i membri delle aziende A e B.
La home page: i contenuti visualizzati di recente è un esempio di un luogo in Looker in cui l'utente vedrà solo gli altri membri dell'azienda C e i relativi contenuti.
Questi passaggi ti aiuteranno a configurare un sistema chiuso:
- Richiedi l'opzione Closed System (Sistema chiuso).
- Pianifica la struttura.
- Configura i gruppi per un accesso granulare.
- Abilita il sistema chiuso nel riquadro Admin (Amministratore).
- Assegna l'accesso View (Visualizzazione) per la cartella Shared (Condivisa) a tutti i gruppi aziendali nel sistema.
- Configura i livelli di accesso per ogni sottocartella delle cartelle Shared (Condivisa).
- Esegui la migrazione dei contenuti in sottocartelle.
Questi passaggi presuppongono che nelle cartelle Shared (Condivisa) non siano ospitati contenuti per gli utenti multitenant. Per isolare i contenuti in un sistema chiuso e impedire ai clienti e ad altri gruppi di vedersi tra loro, sposta tutti quei contenuti dalla cartella Shared (Condivisa) in sottocartelle separate prima di iniziare i passaggi seguenti.
Richiedere l'opzione Closed System (Sistema chiuso)
Per richiedere l'abilitazione dell'opzione Closed System (Sistema chiuso) per la tua istanza, contatta uno specialista delle vendite di Google Cloud o apri una richiesta di assistenza.
Pianificare la struttura
La configurazione del sistema è molto più semplice se hai pianificato in anticipo. Ci sono due aree principali da considerare:
Innanzitutto, assicurati di creare un gruppo per ogni azienda. Un gruppo aziendale associa tutti gli utenti di ogni azienda e li tiene separati da altre aziende.
In secondo luogo, decidi se consentire che più aziende visualizzino la stessa cartella (ad esempio per le dashboard che interessano tutte le aziende) oppure se preferisci avere una cartella di primo livello per ogni azienda (per contenuti specifici che interessano una sola azienda).
Configurare i gruppi per un accesso granulare
Anche se dovrebbe esistere almeno un gruppo per azienda, potrebbero esistere anche sottogruppi all'interno del gruppo più grande. Se vuoi consentire ad alcuni utenti di un'azienda di modificare e gestire i contenuti, mentre ad altri solo di visualizzarli, puoi creare sottogruppi separati per i diversi tipi di utenti. Ad esempio, puoi iniziare creando Company A (Azienda A) come gruppo principale e quindi aggiungere due sottogruppi: Editors at Company A (Editor in Azienda A) e Viewers at Company A (Visualizzatori in Azienda A).
Per informazioni su come configurare i gruppi, consulta la pagina della documentazione Gruppi.
Abilitare l'opzione Closed System (Sistema chiuso) nel riquadro Admin (Amministrazione)
È preferibile abilitare l'opzione Closed System (Sistema chiuso) prima di configurare i controlli di accesso alle cartelle, poiché l'abilitazione di questa opzione apporta modifiche al sistema (vedi l'introduzione alla sezione Configurare un sistema chiuso in questa pagina). Questa opzione si trova nella sezione Settings (Impostazioni) del riquadro General (Generale) nella sezione Admin (Amministrazione) di Looker.
Assegnare l'accesso in visualizzazione per la cartella Condivisa a tutti i gruppi aziendali
A ogni gruppo aziendale assegna l'accesso View (Visualizzazione) per le cartelle Shared (Condivisa). In questo modo, tutti i membri di quei gruppi potranno accedere alla cartella Shared (Condivisa) e vedere la cartella della propria azienda al suo interno. Se un gruppo non dispone dell'accesso View (Visualizzazione) per le cartelle Shared (Condivisa), non potrà vedere le cartelle della propria azienda. Queste impostazioni possono essere gestite dalla sezione Content Access (Accesso ai contenuti) del riquadro Admin (Amministrazione).
Configurare i livelli di accesso per ogni sottocartella
Imposta i livelli di accesso per stabilire chi può visualizzare o modificare i contenuti in ogni sottocartella. Per impostazione predefinita, le sottocartelle utilizzano le impostazioni di accesso delle cartelle padre finché non le modifichi. Questo significa che un'azienda con l'accesso View (Visualizzazione) sulla cartella Shared (Condivisa) potrebbe vedere i contenuti in una sottocartella di un'altra azienda, a meno che non limiti l'accesso a quella sottocartella. Esamina ogni sottocartella e limita l'accesso in modo appropriato.
Eseguire la migrazione dei contenuti in sottocartelle
Se la tua azienda ha consentito agli utenti di vedere altre cartelle personali oltre alla propria, ti consigliamo di eseguire la migrazione dei contenuti di quelle cartelle personali nelle cartelle appropriate nella gerarchia Shared (Condivisa) principale.