[Admin] パネルの [Users] セクションにある [Users] ページには、Looker インスタンスのすべてのユーザー アカウントが一覧表示されます。
ユーザーの表示と検索
[Users] ページには、次の情報が表示されます。
タブでは、次のタイプ別にユーザーをグループ化します。
- [Standar Users] タブには、通常の認証プロセスまたは Looker API のいずれかで Looker に直接ログインしたユーザーが表示されます。
- [Embed Users] タブには、サードパーティ アプリケーションを介して認証された 署名付き埋め込みユーザーが表示されます。
- [サービス アカウント] タブには、API キーを使用して Looker API で認証された API 専用のサービス アカウントが表示されます。
- [Looker Support] タブには、Looker インスタンスへのアクセス権が付与された Looker サポート アナリストが表示されます。
[Filter List] フィールドでは、表示されるユーザーを制限します。ユーザーID、名前、メールアドレスのいずれかでフィルタすることができます。 ユーザーIDでフィルタする場合は、ユーザーIDを入力して、そのユーザーを表示します。 名前とメールアドレスでフィルタする場合、フィルタのフィールドに文字列を入力すると、名前またはメールアドレスにその文字列が含まれるユーザー全員のリストが表示されます。 [Filter List] は、以前のバージョンの [Users] ページの検索機能に代わるものです。
[User] 列の見出しをクリックすると、テーブルがユーザー名の昇順または降順で並べ替えられます。
それぞれの行にはユーザーの名前、ID、メールアドレスが表示され、そのユーザーの持つアクセス権限を示すアイコンも表示されます。そのアイコンにカーソルをかざして、アイコンが示す内容を確認します。
行をクリックしてユーザーを編集します。編集不可のユーザーは、ユーザーアイコンにロックが表示されています。 これらのユーザーは、システムによって作成されたか(すべてのユーザー グループのメンバーなど)、LDAP、SAML、または OpenID Connect プロトコルによって外部で管理されています。
[Active Credential] 列には、ユーザーの Looker インスタンスに対するアクセスの種類が一覧表示されます。この列は、[標準ユーザー] タブにのみ表示されます。
[Groups] 列には、ユーザーが属するすべてのグループが一覧表示されます。
[ロール] 列には、ユーザーに割り当てられているすべてのロールが一覧表示されます。
[追加] ボタンをクリックして、新しいユーザーとサービス アカウントを作成します。
3 ドットのオプションメニューをクリックして、ユーザーを無効にするか、sudo ユーザーとして実行するか、またはユーザーを削除します。
標準ユーザーを追加する
標準ユーザーを追加する手順は次のとおりです。
- [追加] ボタンをクリックして、プルダウン メニューを表示します。
- [ユーザー] メニュー項目をクリックして、[新しいユーザーを追加] ページを開きます。
- [新しいユーザーを追加] ページの [メールアドレス] フィールドに、メールアドレスのカンマ区切りのリストを入力または貼り付けます。
- [グループ] フィールドで、ユーザーに割り当てるグループを選択します。グループのリストを表示するには、[グループ] フィールドに入力を開始すると、そのテキストを含むすべてのグループ名が表示されます。
- [ロール] フィールドで、ユーザーに割り当てるロールを選択します。
- [Save] ボタンをクリックすると、ユーザーが作成されます。登録メールを送信するには、[Send setup emails] チェックボックスをオンにします。
API のみのサービス アカウントの作成
Looker インスタンスの [ユーザー] ページから、API 専用アカウント(多くの場合、「サービス アカウント」と呼ばれる)を作成できます。このアカウントには、管理者 Looker ロールと Looker API 認証情報が付与されます。ただし、このアカウントでは UI から Looker にログインすることはできません。
ベスト プラクティスは、API スクリプト専用のサービス アカウント(つまり、スクリプトごとに 1 つのサービス アカウント)を作成することです。その場合は、スクリプトで機能の実行のみを許可し、機能のみを許可する特定の権限セットでサービス アカウントを構成できます。たとえば、クエリを実行する API スクリプトの場合、access_data 権限だけを持ち、それ以外の権限は持たないサービス アカウントを作成できます。
API スクリプトの専用サービス アカウントを使用すると、スクリプトへのアクセスをコンパートメント化することでセキュリティが高まります。また、スクリプトを停止する必要がある場合は、そのスクリプトのサービス アカウントを無効に(または削除)することもできます。ユーザー アカウントを削除する前に、このページのユーザー アクセスの削除のセクションを必ずお読みください。
サービス アカウントは、割り当てられているロールに応じてライセンスを使用します。サービス アカウントに複数のロールが付与されている場合、そのロールの中で最も高い階層のライセンスが 1 つ消費されます。たとえば、サービス アカウントに閲覧者とデベロッパーの両方の権限がある場合、デベロッパー ライセンスが使用されます。
サービス アカウントを追加するには、次の操作を行います。
- [追加] ボタンをクリックして、プルダウン メニューを表示します。
- [サービス アカウント] メニュー項目をクリックして、[新しいサービス アカウントを追加] ページを開きます。
- [サービス アカウント名] フィールドに、サービス アカウントの名前を入力します。
- [デフォルトの API 認証情報セットを作成する] スイッチは、デフォルトで有効になっています。アカウントの API 認証情報を作成しない場合は、スイッチをクリックしてこのオプションを無効にします。
- サービス アカウントに割り当てるグループとロールを選択します。
- [保存] をクリックします。
既存のサービス アカウントは、[ユーザー] ページの [サービス アカウント] タブで表示および編集できます。サービス アカウントを編集するには、サービス アカウントの行をクリックして [ユーザーの編集] ページを表示します。[ユーザーを編集] ページでは、次の操作を行うことができます。
- サービス アカウントを有効または無効にする
- サービス アカウント名を編集する
- サービス アカウントの API キーを管理する
- 異なるグループとロールを割り当てる
- サービス アカウントに関連付けられているユーザー属性を編集する
ユーザー アカウントをサービス アカウントに移行する
Looker(オリジナル)インスタンスでは、特定の標準ユーザー アカウントを API 専用サービス アカウントに移行できます。移行の対象となるには、標準ユーザー アカウントが次の条件をすべて満たしている必要があります。
- アカウントで、Looker への認証方法として Google、SAML、OpenID Connect などの ID プロバイダが使用されていない。
- アカウントのメール認証情報にパスワードが設定されていない。
- ユーザーが過去 7 日間に Looker インスタンスにログインしていない。
Looker は、これらの条件を満たす標準ユーザーを [ユーザー] ページの [標準ユーザー] タブの [ユーザー] 列に表示します。また、[ユーザー] ページの上部に、一部の標準ユーザーがサービス アカウントの可能性があることを示すバナーが表示されます。
標準ユーザー アカウントが移行の条件を満たしている場合、標準アカウントをサービス アカウントに移行するには、次の 2 つの方法があります。
要件を満たすユーザー アカウントの行の 3 つのドットの [オプション] メニューに [移行] オプションが表示されます。そのメニュー項目を選択すると、[ユーザーを移行] ダイアログが開きます。[移行] をクリックしてユーザーを移行します。[キャンセル] をクリックして、移行せずにダイアログを閉じます。
要件を満たすユーザー アカウントの行をクリックして、[ユーザーの編集] ページに移動します。[ユーザーの編集] ページの下部にある [移行] ボタンをクリックします。表示されたダイアログで、[OK] をクリックして移行を確定するか、[キャンセル] をクリックして移行せずにダイアログを終了します。
ユーザー アカウントが移行の条件を満たしていない場合、そのユーザーには移行オプションが表示されません。
ユーザー アカウントをサービス アカウントに移行しても、API 認証情報は作成されませんが、ユーザー アカウントに関連付けられている API 認証情報はサービス アカウントに移行されます。
ユーザーの編集
ユーザーを編集するには、対象ユーザーの行をクリックします。[ユーザーを編集] ページで、次の設定を必要に応じて調整します。
アカウント
ユーザーのアカウントを有効または無効にします。削除するのではなく、ユーザー アカウントを無効にすることを検討してください。このフィールドは、標準ユーザーとサービス アカウントにのみ表示されます。
名
ユーザーの名前を追加または編集します(該当する場合)。このフィールドに値は必要ありませんが、入力しておくと編成しやすくなります。このフィールドは、標準ユーザーと埋め込みユーザーにのみ表示されます。
姓
ユーザーの姓を追加または編集します(該当する場合)。このフィールドに値は必要ありませんが、入力しておくと編成しやすくなります。このフィールドは、標準ユーザーと埋め込みユーザーにのみ表示されます。
サービス アカウント名
サービス アカウント名を編集します。このフィールドは、サービス アカウントの場合にのみ表示されます。
メール
ユーザーのメールアドレスを追加または編集します。このメールアドレスが、ユーザーが Looker にログインする際のユーザー名になります。このフィールドは標準ユーザーの場合のみ表示されます。
言語 / 地域
[Locale] フィールドでは、ユーザーのユーザー インターフェース言語とモデルロケールを設定します。このフィールドは標準ユーザーの場合のみ表示されます。
ユーザーに対して特定のユーザーインターフェース(UI)テキストを指定の言語で表示する場合、Looker は以下の表に示す UI 翻訳をサポートしています。[Locale] フィールドにコードを入力します。
ユーザーに対して、1 つ以上のデータモデルのローカライズされたバージョンを表示する場合は、[Locale] 欄にそのロケールのモデルの文字列ファイルのタイトルを入力します。
ユーザーに対して、モデル ローカライズと Looker の組み込み UI 翻訳の両方を表示する場合は、モデルの文字列ファイルの名前は次の表の適切なロケールコードと同じ名前にする必要があります。このコードは、[Locale] フィールドに入力する必要があります。
[Locale] の設定を確認するには、ページ下部にある [Save] をクリックします。
| 言語 | ロケールコードと文字列ファイル名 |
|---|---|
| 英語 | en |
| チェコ語 | cs_CZ |
| ドイツ語 | de_DE |
| スペイン語(スペイン) | es_ES |
| フィンランド語 | fi_FI |
| フランス語(カナダ) | fr_CA |
| フランス語(フランス) | fr_FR |
| ヒンディー語 | hi_IN |
| イタリア語 | it_IT |
| 日本語 | ja_JP |
| 韓国語 | ko_KR |
| リトアニア語 | lt_LT |
| ノルウェー語(ブークモール) | nb_NO |
| オランダ語 | nl_NL |
| ポーランド語 | pl_PL |
| ポルトガル語(ブラジル) | pt_BR |
| ポルトガル語 | pt_PT |
| ロシア語 | ru_RU |
| スウェーデン語 | sv_SE |
| タイ語 | th_TH |
| トルコ語 | tr_TR |
| ウクライナ語 | uk_UA |
| 中国語(簡体) | zh_CN |
| 中国語(繁体) | zh_TW |
Locale が設定されていないユーザーの場合、Looker では、[Admin] パネルの [Localization] ページで選択されたロケールをデフォルト ロケールとして使用し、そこでロケールが設定されていない場合、Looker ではデフォルトの en が使用されます。
カスタムロケールの設定
Looker開発者は、モデルのローカライズのみに使用するカスタムロケールを作成できます。 カスタム ロケールコードは、モデルのローカライズ プロセスで作成される文字列ファイルのタイトルで指定されます。そのカスタムロケールをユーザーに適用するには、次の手順を実行します。
[Locale] フィールドにカスタム ロケール コードを入力します。フィールドへの入力を開始すると、既存のテキストはすべて表示されなくなります。
[Create "your_custom_locale_code"] をクリックします。
ページの下部にある [保存] をクリックします。 コードは、ユーザーのロケールドロップダウンメニューに追加されます。
Looker の UI はカスタムロケールをサポートしていません。ユーザーの [ロケール] フィールドでカスタム ロケールを使用する場合、そのユーザーの UI はデフォルトでインスタンスのロケールで設定されている言語になります。
数字の表示形式
データ表とビジュアライゼーションに表示される Looker のデフォルトの数値書式設定は 1,234.56 です。ただし、この数値書式は次のいずれかに設定できます。
- 1,234.56: 千の単位がカンマで、小数がピリオドで区切られる
- 1.234,56: 千の単位がピリオドで、小数がカンマで区切られる
- 1 234,56: 千の単位がスペースで、小数がカンマで区切られる
数値書式設定の詳細と使用例については、数値書式のローカライズに関するドキュメント ページをご覧ください。
このフィールドは標準ユーザーの場合のみ表示されます。
タイムゾーン
Looker インスタンスで [ユーザー固有のタイムゾーン] を有効にしている場合は、このユーザーが Looker でクエリを実行するときに使用されるタイムゾーンを選択できます。
セットアップリンクの送信/リセットリンクの送信
ユーザーがまだログインしたことがない場合、このボタンには [Send setup link] と表示されます。ユーザーが以前にログインしたことがある場合、このボタンには [Send reset link] と表示されます。パスワードを設定またはリセットする必要がある場合、このボタンをクリックし、以前に指定したユーザーのメールアドレスにリンクを送信できます。Looker でのパスワードの複雑さの要件を指定する際の詳細については、パスワードの要件のドキュメントをご覧ください。ユーザーが 1 時間以内にパスワードをリセットしないと、パスワードのリセットリンクが期限切れになります。
このフィールドは標準ユーザーの場合のみ表示されます。
二要素シークレット
このオプションは、インスタンスで2 要素認証(2FA)を有効にしている場合に表示されます。ユーザーの 2FA をリセットするには、[Reset] ボタンをクリックします。これにより、ユーザーが次に Looker インスタンスにログインしようとすると、Looker は Google 認証システムアプリで QR コードを再スキャンするようユーザーに促します。
このフィールドは標準ユーザーの場合のみ表示されます。
API キー
API キーは Looker API へのアクセスに使用されます。API キーには、作成元のユーザー アカウントまたはサービス アカウントと同じ権限が付与されます。
API キーは Looker で作成され、クライアント ID とクライアント シークレットで構成されます。Lookerでは、Looker APIでコマンドを実行するときにAPIキーが必要です。
このフィールドは、標準ユーザーとサービス アカウントにのみ表示されます。
個々の標準ユーザー
管理者は、個々の標準ユーザーの API キーを作成できません。ただし、ユーザーが API キーを自分で管理する機能を有効または無効にすることはできます。
ユーザーが API キーを管理できるようにするかどうかを有効または無効にするには、[管理 > ユーザー > ユーザーの編集] ページで、[API キー] フィールドを使用して、ユーザーが自分のユーザー アカウントの API キーを作成、表示、削除できるようにするかどうかを有効または無効にします。
ユーザーが API キーを管理できるようにすると、ユーザーはアカウント ページから API キーを管理できるようになります。
Looker 管理者は、API3 認証情報を管理できるフィールドを使用して、User System Activity Explore で API キーを管理できるユーザーをモニタリングできます。Looker 管理者は、User System Activity Explore で Has API Credentials フィールドを使用して、API キーを持つユーザーをモニタリングできます。
ユーザーが API キーを設定すると、[管理] パネルの [ユーザー] ページのエントリの [アクティブな認証情報] 列に、API(ユーザーが持つ他の種類の Looker 認証情報に加えて)が表示されます。Looker 管理者は、[API キーを表示] ボタンをクリックしてユーザーの [API キー] ページを開くこともできます。このページでは、ユーザーの API キーのクライアント ID を表示できますが、クライアント シークレットは表示できません。
API のみのサービス アカウント
Looker 管理者は、API 専用サービス アカウントの API キーを管理します。
API 専用のサービス アカウントの API キーを生成するには、[管理> ユーザー> ユーザーの編集] ページの [API キー] セクションで、[管理] ボタンをクリックします。[API キー] ページが開き、既存の API キーが表示されます。新しいキーを生成するには、[新しい API キーを作成] ボタンをクリックします。
グループ
ユーザーがメンバーになっているグループを一覧表示します。新しいグループにユーザーを追加するには、プルダウンからグループを選択します。または、リストのグループ名の横にある X をクリックして、ユーザーをグループから削除します。
[管理] パネルの [グループ] ページでグループにユーザーを追加することもできます。
ロール
ユーザーに割り当てられたロールを一覧表示します。プルダウンから新しいロールを追加するには、プルダウンからロールを選択します。リスト内のロール名の横にある X をクリックして、ロールを削除します。
ロールは、[Roles] 管理ページから追加することもできます。
ユーザー属性
ユーザーの [User attributes] の値を設定または設定解除します。個々のユーザーに割り当てられた値は常に、グループのメンバーシップの結果として割り当てられた値よりも優先されます。システム設定は編集できません。
ユーザーアクセスの削除
Looker へのユーザー アカウントまたはサービス アカウントのアクセス権を削除するには、アカウントを無効にするか、アカウントを削除します。ほとんどの状況では、ベストプラクティスはアカウントを無効化することです。
アカウントの無効化と削除の違いについては、次の表をご覧ください。
| 説明 | 無効 | 削除済み |
|---|---|---|
| ユーザーが Looker インスタンスにログインできる | いいえ | いいえ |
| ユーザーの個人用フォルダ | 存続 | 削除済み |
| ユーザーの個人用フォルダのLookとダッシュボード | 存続 | [Trash] フォルダに移動した |
| ユーザーが共有フォルダに保存したLookとダッシュボード | 共有フォルダに存続 | 共有フォルダに存続 |
| ユーザーが作成したスケジュール | スケジュールは無効 | スケジュールは削除 |
| ユーザーのコンテンツに基づいて、別のユーザーが作成したスケジュール | スケジュールは引き続き実行 | ユーザーのコンテンツが削除されると、そのコンテンツに基づくスケジュールも削除される |
| 外部メールアカウントへのコンテンツ配信機能により、別のユーザーがそのユーザーを受信者としてリストし、作成するスケジュール | スケジュールは今後も引き続き実行され、通常どおり配信される(ユーザーは外部ユーザーとして扱われる) | スケジュールは引き続き実行され、通常どおり配信される(ユーザーは外部ユーザーとして扱われる) |
| [Run schedule as recipient] が有効になっていて、ユーザーを受信者としてリストするスケジュール | スケジュールは引き続き実行されるが、次回の実行で無効なユーザーには配信できない | スケジュールは引き続き実行されるが、エラー run_as_recipient was specified on ScheduledPlan but recipient is not a Looker user によってすべてのユーザーには配信できない |
| ユーザーが作成したボード | 存続 | 存続 |
| ユーザーが作成したアラート | 引き続きアクティブですが、管理者が自分に割り当てない限り、アラートがセットされたダッシュボードで表示したり編集したりすることはできません。 管理者は、[Admin] パネルの [Alerts] 管理ページから、アラートを編集または自分に割り当てることができます。 | アラートは、ダッシュボードと、[Admin] パネルの [Alerts] 管理ページから直ちに削除されます。 |
| ユーザーの使用情報の履歴 | 保持 | 大半は削除 |
ユーザーの無効化
ユーザー アカウントまたはサービス アカウントの Looker へのアクセスを防止する場合は、通常、アカウントの無効化が推奨されます。アカウントを無効にしても、そのアカウントの使用履歴と個人用コンテンツは保持されます。アカウントの無効化と削除の違いの詳細については、このページのユーザー アクセスの削除の表をご覧ください。
Looker(Google Cloud コア)インスタンスを使用している場合、ユーザーを無効にしても、そのユーザーの IAM 権限には影響しません。ユーザーがインスタンスにアクセスできないように、Looker IAM 権限を削除します。
アカウントを無効にするには、ユーザーの行の右側にある [オプション] メニューから [無効にする] を選択します。
ユーザーの削除
ユーザーを削除するのではなく、ユーザー アカウントを無効にすることを検討してください。無効化した場合、ユーザーはログインできなくなりますが、そのユーザーの情報、コンテンツ、履歴は保持されます。ユーザーの無効化と削除の違いの詳細については、このページのユーザー アクセスの削除の表をご覧ください。
Looker(Google Cloud コア)インスタンスを使用している場合、ユーザーを削除しても、そのユーザーの IAM 権限には影響しません。ユーザーがインスタンスにアクセスできないように、Looker IAM 権限を削除します。
アカウントを削除するには、次のいずれかの操作を行います。
- アカウントの行の右側にある [オプション](縦三点リーダー)メニューから [削除] を選択します。
- アカウントの [ユーザーの編集] ページで、[削除] ボタンをクリックします。
データポータル Pro サブスクリプションに関連付けられている Looker アカウントからユーザーを削除すると、アカウントに割り当てられている追加料金なしのデータポータル Pro ライセンスの数が減ります。アカウントに割り当てられる無料の Pro ライセンスの数が、現在使用中のライセンス数より少なくなった場合、差し引き分は 24 時間以内に有料ライセンスに変換され、データポータル Pro の料金が適用されます。
ユーザーの偽装(Sudo)
Sudoにより、ユーザーは別のユーザーのように(つまりそのユーザーの権限と機能を使って)Lookerを操作できます。
また、権限や他の機能を正しく構成できたかどうかを検証したり、変更を確定しプッシュする前に、ユーザーのLookML開発を確認したりする際にも役立ちます。
Sudo で別のユーザーとして操作するには、see_users と sudo の両方の権限が必要です。管理者は別の管理者を含め、任意の別のユーザーとしてsudoを実行できます。 管理者以外のユーザーは、管理者以外の他のユーザーとしてのみsudoを実行できます。
ユーザーとして sudo するには、ユーザー行の右側にある [オプション](縦三点リーダー)メニューから [このユーザーとして sudo] を選択します。
画面上部のバーに、現在sudoの状態にあるという警告が表示されます。そのバーを使ってsudo状態を終了することができます。 この状態で行うすべての変更は、成り代わっているユーザーに影響します。
Development Mode の場合、本番環境に変更をデプロイするまで、他のユーザーに変更内容は表示されません。他のユーザーに見えるように変更をデプロイしていない場合、別のユーザーで sudo を実行している間はその変更を見ることができません。
別のユーザーとして sudo を実行する際は、次の点に注意してください。
署名付き埋め込みユーザーとして sudo を実行し、埋め込み iframe を通してではなく直接 Looker インスタンスとやり取りすると、予期しない結果になる場合があります。通常の権限による制限に加えて、署名付き埋め込みユーザーには、埋め込み iframe による制限があります。ただし、署名付きの埋め込みユーザーとして sudo を実行していて iframe の外で操作している場合は、そうした制限がない可能性があります。
Snowflake や Google BigQuery などの OAuth を使用するデータベース接続の場合、別のユーザーとして sudo を行う管理者は、クエリの実行時にその sudo ユーザーの OAuth アクセス トークンを使用します。Snowflake接続では、ユーザーのアクセストークンの有効期限が切れている場合、管理者はsudoされているユーザーに代わって新しいトークンを作成することができません。そのユーザー本人がSnowflakeにログインし、Lookerを再認証する必要があります。
別のユーザーとして sudo を実行しても、そのユーザーの API キーは表示されません。
sudo は標準ユーザーとしてのみ実行できます。サービス アカウントとして sudo を実行することはできません。