Diferentes níveis de acesso ao conteúdo determinam quais usuários podem visualizar e editar o conteúdo nas pastas do Looker. Enquanto as permissões são associadas a um usuário de acordo com o papel dessa pessoa, o acesso ao conteúdo é associado a uma pasta e define o quão aberta a pasta é para usuários em vários níveis.
Tipos de acesso a pastas
Um de dois níveis de acesso pode ser atribuído a cada usuário ou grupo do Looker para qualquer pasta:
Ver: com esse nível de acesso, um usuário pode ver que a pasta existe, visualizar as análises e os painéis dentro dela e copiar as análises e os painéis na pasta.
Gerenciar acesso, editar: esse nível de acesso permite que um usuário faça tudo o que o nível de acesso Ver faz, além de fazer mudanças na pasta, como:
Para mais informações sobre acesso e permissões de conteúdo, consulte Controlar o acesso ao conteúdo do usuário e Como o acesso e as permissões de conteúdo interagem.
Sistemas abertos e fechados de acesso a pastas
As configurações do Looker ajudam a estruturar o acesso do usuário com base nas políticas da sua empresa e nos tipos de usuários que vão interagir com suas pastas. Em geral, o sistema que você criar vai se enquadrar em uma de três categorias amplas: totalmente aberto, aberto com restrições ou fechado.
| Nível de acesso a pastas | Descrição | Uso recomendado |
|---|---|---|
| Totalmente aberto | Todos os usuários podem visualizar e modificar todo o conteúdo compartilhado. Essa é a configuração padrão do Looker. | Um sistema aberto é recomendado para pequenas empresas ou equipes que usam o Looker, empresas com políticas abertas sobre dados e empresas em que o compartilhamento de relatórios editáveis é um caso de uso principal. |
| Aberto com restrições | O acesso ao conteúdo compartilhado é restrito de alguma forma para que apenas algumas pessoas possam editar determinado conteúdo ou algum conteúdo seja totalmente invisível para determinadas pessoas. | Um sistema aberto com restrições é recomendado para equipes e empresas de médio ou grande porte, bases de usuários altamente diversificadas em que os relatórios não são relevantes para todos ou empresas que querem que o conteúdo seja visualizado por todos, mas editável apenas por alguns. |
| Fechado | Também chamado de instalação multitenant, esse sistema isola o conteúdo para determinados grupos e impede que usuários de grupos diferentes se conheçam. | Para proteger as informações particulares dos seus clientes, recomendamos o uso de um sistema fechado para casos de uso de marca própria e incorporação assinada em que os clientes hospedam clientes no sistema que podem ser de empresas ou grupos diferentes e que não devem se conhecer. |
Depois de determinar o tipo de sistema que você quer, esta página vai orientar você nas etapas para configurá-lo. Para a configuração inicial, recomendamos usar a seção Acesso ao conteúdo do painel Admin, já que é um único lugar para fazer mudanças em cada pasta.
Como o acesso a uma pasta afeta as subpastas dela
Antes de decidir o quão aberto ou fechado você quer que seu sistema seja, é importante entender como os níveis de acesso definidos nas pastas principais vão afetar as subpastas, bem como o que você pode e não pode mudar em níveis mais baixos na hierarquia.
| Tipo de acesso | Padrão de herança | Descrição |
|---|---|---|
| Gerenciar acesso, editar | Flui por toda a hierarquia de pastas | Depois de conceder a um usuário acesso para Gerenciar acesso, editar em uma pasta, ele vai manter esse nível de acesso a todas as análises, painéis e subpastas dentro dessa pasta. Não é possível bloquear o acesso deles em uma parte inferior da hierarquia de pastas. |
| Ver | Pode ser removido a qualquer momento na hierarquia de pastas | A remoção do acesso Ver no nível da pasta revoga a capacidade de um usuário de visualizar essa pasta e todo o conteúdo dela. Você também pode remover o acesso Ver em qualquer ponto mais baixo na hierarquia para restringir os usuários de visualizar análises, painéis ou subpastas específicas em uma pasta que, de outra forma, seria visível. |
Os administradores do Looker têm acesso para Gerenciar acesso, editar a todas as pastas e, portanto, a todo o conteúdo. Isso garante a capacidade deles de gerenciar o sistema, evitar conteúdo órfão e ajudar qualquer usuário que tenha problemas.
Como configurar um sistema totalmente aberto
A configuração padrão do Looker permite acesso totalmente aberto a todas as pastas. O grupo Todos os usuários é atribuído a Gerenciar acesso, editar na pasta Compartilhada, e todas as subpastas dentro da pasta Compartilhada vão herdar esse acesso. Gerencie essa configuração na seção Acesso ao conteúdo do painel Admin.
Quando um usuário tem acesso para Gerenciar acesso, editar a uma pasta, ele também tem acesso para Gerenciar acesso, editar a todo o conteúdo dessa pasta, incluindo todas as subpastas dela. Isso significa que não há restrições de acesso ao conteúdo nesse sistema.
As pastas pessoais existem em uma hierarquia separada e também têm configurações padrão. O grupo Todos os usuários está definido como Ver em todas as pastas pessoais. Cada usuário pode remover esse grupo da pasta pessoal se quiser que ela seja particular.
Como configurar um sistema aberto com restrições
Estas etapas vão ajudar você a configurar um sistema aberto com restrições:
- Planeje sua estrutura.
- Configure grupos para fornecer acesso granular.
- Mude o acesso do grupo Todos os usuários para Ver na pasta Compartilhada.
- Remova Todos os usuários de qualquer pasta que você não queira que seja visível para toda a empresa.
Planeje sua estrutura
Quem você quer permitir que visualize e edite pastas específicas? Isso vai facilitar sua vida se você esboçar seu plano antes de começar a configurar o acesso. Isso também oferece um lugar para marcar as mudanças à medida que você avança no processo, para não precisar voltar e verificar várias pastas. Colocar usuários em grupos vai ajudar você a gerenciar o acesso para diferentes departamentos ou equipes da sua empresa.
Uma das configurações mais comuns é ter uma pasta por departamento ou equipe, que se parece com algo assim:
- Na pasta Compartilhada, crie uma pasta para um departamento, equipe ou projeto. Vamos usar o exemplo de uma equipe de finanças nesta seção.
- Conceda ao CFO (ou ao analista principal de finanças) o acesso para Gerenciar acesso, editar nessa pasta. Conceda o acesso Ver ao restante da equipe.
- Crie duas subpastas: uma para conteúdo editável e outra para conteúdo somente leitura. Se necessário, adicione uma terceira subpasta para conteúdo particular.
- Na subpasta de conteúdo editável, conceda acesso para Gerenciar acesso, editar a toda a equipe de finanças usando um grupo de finanças. Depois de conceder esse nível de acesso ao grupo de finanças, todos os membros dele poderão adicionar, excluir ou mudar o conteúdo nessa subpasta.
- Na subpasta de conteúdo somente leitura, conceda acesso Ver a todo o grupo de finanças. O CFO ainda pode Gerenciar acesso, editar o conteúdo nessa pasta, porque ele herda esse acesso da pasta principal de finanças.
- Na subpasta particular (opcional), remova o grupo de finanças completamente. Somente o CFO pode visualizar essa pasta ou gerenciar o conteúdo dela.
Configure grupos para fornecer acesso granular
Se você planeja restringir o acesso ao conteúdo, os grupos do Looker facilitam muito as coisas. Os grupos podem receber acesso a pastas e subpastas da mesma forma que os usuários, e os grupos podem conter outros grupos. Para informações sobre como configurar grupos, consulte a página Grupos.
Comece definindo o acesso a subpastas individuais e, em seguida, defina o acesso para toda a pasta Compartilhada. Como o acesso flui pela hierarquia de pastas, é mais seguro começar manipulando o acesso às subpastas mais baixas individualmente. Em seguida, você pode subir pelas pastas de nível principal, concedendo a elas o nível de acesso desejado e garantindo que as mudanças não entrem em conflito com as decisões tomadas nos níveis mais baixos.
Neste exemplo, vamos começar com as subpastas dentro da pasta Compartilhada. Gerencie essas configurações na seção Acesso ao conteúdo do painel Admin:
- Defina cada pasta na pasta Compartilhada como Uma lista personalizada de usuários.
Atribua acesso para Gerenciar acesso, editar aos usuários e grupos que você quer que possam editar o conteúdo.
Atribua acesso Ver aos usuários e grupos que você quer que tenham acesso somente leitura.
Até que você mude as configurações da pasta Compartilhada de nível superior, nada entrará em vigor. O nível de acesso para o grupo Todos os usuários está definido como Gerenciar acesso, editar na pasta Compartilhada e flui por todas as subpastas individuais. Não é possível modificar as configurações de Todos os usuários em subpastas individuais até que o nível de acesso desse grupo seja alterado na pasta Compartilhada.
Clique na pasta que você quer configurar e clique em Gerenciar acesso.
Mude o acesso do grupo Todos os usuários para Ver na pasta Compartilhada
É quando as mudanças entram em vigor. Lembre-se de consultar o plano da sua estrutura.
Primeiro, a menos que você queira que todos tenham acesso de edição a todo o conteúdo do seu sistema, clique em Gerenciar acesso para a pasta Compartilhada e mude Todos os usuários de Gerenciar acesso, editar para Ver.
Em seguida, se o plano for mostrar determinadas subpastas apenas para determinados grupos, continue para a seção a seguir.
Remova o grupo Todos os usuários de pastas que você não quer que sejam visíveis
Para tornar uma pasta particular para um determinado subgrupo de usuários, remova Todos os usuários completamente dessas pastas usando o X à direita do nível de acesso da pasta. Agora, a pasta só vai aparecer para usuários e grupos que você listar explicitamente.
Como configurar um sistema fechado
O Looker oferece uma opção de Sistema fechado que faz as seguintes mudanças:
- Remove o grupo Todos os usuários. Não haverá como se referir a todos os usuários do sistema como um grupo. Em vez disso, os administradores do Looker precisam criar um grupo por locatário ou cliente, conforme discutido na seção Configurar grupos para fornecer acesso granular. Para esta discussão, vamos presumir que cada cliente é uma empresa.
- Torna todas as pastas e quadros de usuários particulares por padrão. Os usuários ainda podem compartilhar conteúdo nas pastas com outros membros dos grupos.
Impede que os usuários vejam outros usuários, a menos que compartilhem um grupo. Portanto, se um usuário for membro do grupo da Empresa C, ele só vai ver outros membros da Empresa C e não os membros das Empresas A e B.
A página inicial: conteúdo visualizado recentemente é um exemplo de um lugar no Looker em que esse usuário só vai ver outros membros da Empresa C e o conteúdo deles.
Estas etapas vão ajudar você a configurar um sistema fechado:
- Peça a opção Sistema fechado.
- Planeje sua estrutura.
- Configure grupos para fornecer acesso granular.
- Ative o sistema fechado no painel Admin.
- Conceda a cada grupo de empresas no seu sistema acesso Ver para a pasta Compartilhada.
- Configure os níveis de acesso para cada subpasta das pastas Compartilhadas.
- Migre o conteúdo para subpastas.
Essas etapas pressupõem que nenhum conteúdo para usuários multitenant esteja hospedado nas pastas Compartilhadas. Para isolar o conteúdo em um sistema fechado e impedir que clientes ou outros grupos se vejam, mova esse conteúdo da pasta Compartilhada para subpastas separadas antes de começar as etapas a seguir.
Peça a opção "Sistema fechado"
Para solicitar que a opção Sistema fechado seja ativada para sua instância, entre em contato com um especialista de vendas do Google Cloud ou abra uma solicitação de suporte.
Planeje sua estrutura
É muito mais fácil configurar seu sistema se você tiver definido seu plano com antecedência. Há duas áreas principais a serem consideradas:
Primeiro, crie um grupo para cada empresa. Um grupo de empresas associa todos os usuários de cada empresa e mantém esses usuários separados de outras empresas.
Em segundo lugar, considere se você quer que várias empresas visualizem a mesma pasta (por exemplo, para painéis relevantes para todas as empresas) ou se você quer uma pasta de nível superior para cada empresa (para conteúdo distinto que se aplica apenas a uma única empresa).
Configure grupos para fornecer acesso granular
Embora deva haver pelo menos um grupo por empresa, também pode haver subgrupos dentro desse grupo maior. Se você quiser permitir que alguns usuários de uma empresa editem e gerenciem conteúdo, enquanto permite que outros apenas visualizem o conteúdo, crie subgrupos separados para os diferentes tipos de usuários. Por exemplo, você pode começar criando a Empresa A como o grupo guarda-chuva e, em seguida, adicionar dois subgrupos: Editores da Empresa A e Visualizadores da Empresa A.
Para informações sobre como configurar grupos, consulte a página de documentação Grupos.
Ative a opção "Sistema fechado" no painel Admin
É melhor ativar a opção Sistema fechado antes de configurar qualquer controle de acesso em pastas, já que a ativação da opção Sistema fechado faz mudanças no seu sistema (consulte a introdução à configuração de um sistema fechado nesta página). Essa opção está localizada na seção Configurações do painel Geral na seção Admin do Looker.
Conceda a cada grupo de empresas acesso de visualização para a pasta Compartilhada
Conceda acesso Ver a cada grupo de empresas para as pastas Compartilhadas. Isso permite que os membros desses grupos acessem a pasta Compartilhada e vejam a pasta da própria empresa nela. Se um grupo não tiver acesso Ver às pastas Compartilhadas, ele não poderá ver as pastas da própria empresa. Gerencie essas configurações na seção Acesso ao conteúdo do painel Admin.
Configure os níveis de acesso para cada subpasta
Defina os níveis de acesso para estabelecer quem pode visualizar ou editar o conteúdo em cada subpasta. As subpastas são definidas como as configurações de acesso dos pais até que você as mude. Isso significa que uma empresa com acesso Ver à pasta Compartilhada pode visualizar o conteúdo na subpasta de outra empresa, a menos que você restrinja o acesso a essa subpasta. Analise cada subpasta e restrinja o acesso de acordo.
Migre o conteúdo para subpastas
Se sua empresa permitiu que os usuários visualizassem a própria pasta e outras pastas pessoais, recomendamos migrar qualquer conteúdo dessas pastas pessoais para as pastas apropriadas na hierarquia principal Compartilhada.