La page Utilisateurs de la section Utilisateurs du panneau Admin liste tous les comptes utilisateur de votre instance Looker.
Affichage et recherche d'utilisateurs
La page Utilisateurs affiche les informations suivantes :
Les onglets regroupent vos utilisateurs par type :
- L'onglet Utilisateurs standards affiche les utilisateurs qui se connectent à Looker directement, que ce soit grâce au processus d'authentification habituel ou grâce à l'API Looker.
- L'onglet Utilisateurs intégrés affiche les utilisateurs connectés qui sont authentifiés via une application tierce.
- L'onglet Comptes de service affiche les comptes de service réservés aux API qui sont authentifiés via l'API Looker à l'aide de clés API.
- L'onglet Support Looker affiche les analystes du Support Looker qui ont obtenu un accès à votre instance Looker.
Le champ Filtrer la liste limite le nombre d'utilisateurs affichés. Vous pouvez filtrer en fonction de l'ID utilisateur, du nom ou de l'adresse e-mail. Pour filtrer en fonction de l'ID utilisateur, saisissez un ID utilisateur pour afficher cet utilisateur. Pour les filtres par nom et adresse e-mail, lors de la saisie de tout contenu, la liste des utilisateurs affiche tous les utilisateurs dont le nom ou l'adresse e-mail comprend le contenu saisi dans le champ filtrer. La liste des filtres remplace la fonction de recherche de la version précédente de la page Utilisateurs.
Si vous cliquez sur l'en-tête de colonne Utilisateur, le tableau est trié par nom d'utilisateur, par ordre croissant ou décroissant.
Chaque ligne liste le nom, l'ID et l'adresse e-mail d'un utilisateur, et comprend une icône qui indique le type d'accès dont dispose l'utilisateur. Maintenez votre curseur sur l'icône pour voir ce qu'elle représente.
Cliquez sur la ligne pour modifier l'utilisateur. Les utilisateurs que vous ne pouvez modifier sont indiqués par un verrou sur l'icône utilisateur. Ces utilisateurs sont créés par le système (comme les membres du groupe "Tous les utilisateurs") ou gérés en externe par les protocoles LDAP, SAML ou OpenID Connect.
La colonne Identifiant actif liste les types d'accès de l'utilisateur à votre instance Looker. Cette colonne n'apparaît que dans l'onglet Utilisateurs standards.
La colonne Groupes répertorie tous les groupes auxquels appartient l'utilisateur.
La colonne Rôles liste tous les rôles attribués à l'utilisateur.
Cliquez sur le bouton Ajouter pour créer des utilisateurs et des comptes de service.
Vous pouvez cliquer sur le menu à trois points Options pour désactiver l'utilisateur, exécuter la commande sudo en tant qu'utilisateur, supprimer l'utilisateur ou migrer un compte utilisateur vers un compte de service.
Ajouter des utilisateurs standards
Pour ajouter un utilisateur standard, procédez comme suit :
- Cliquez sur le bouton Ajouter pour afficher un menu déroulant.
- Cliquez sur l'élément de menu Utilisateurs pour ouvrir la page Ajouter des utilisateurs.
- Sur la page Ajouter un utilisateur, saisissez ou collez une liste d'adresses e-mail séparées par une virgule dans le champ Adresses e-mail.
- Dans le champ Groupes, sélectionnez les groupes qui seront attribués aux utilisateurs. Pour afficher la liste des groupes, commencez à saisir du texte dans le champ Groupes. Tous les noms de groupe comportant ce texte apparaîtront.
- Dans le champ Rôles, sélectionnez les rôles qui seront attribués aux utilisateurs.
- Cliquez sur le bouton Enregistrer pour créer les utilisateurs et, si vous avez coché la case Envoyer des e-mails de configuration, pour envoyer des e-mails d'inscription.
Créer un compte de service réservé aux API
Vous pouvez créer des comptes réservés aux API (souvent appelés comptes de service) sur la page Utilisateurs d'une instance Looker. Ces comptes peuvent se voir attribuer le rôle d'administrateur Looker et les identifiants de l'API Looker. Toutefois, ces comptes ne peuvent pas se connecter à Looker via l'UI. Pour ajouter un compte de service, procédez comme suit :
- Cliquez sur le bouton Ajouter pour afficher un menu déroulant.
- Cliquez sur l'élément de menu Compte de service pour ouvrir la page Ajouter un compte de service.
- Dans le champ Nom du compte de service, saisissez un nom pour le compte de service.
- Le bouton Créer un ensemble d'identifiants d'API par défaut est activé par défaut. Si vous ne souhaitez pas créer d'identifiants API pour le compte, cliquez sur le bouton bascule pour désactiver cette option.
- Sélectionnez les groupes et les rôles à attribuer au compte de service.
- Cliquez sur le bouton Enregistrer.
Vous pouvez afficher et modifier les comptes de service existants dans l'onglet Comptes de service de la page Utilisateurs. Pour modifier un compte de service, cliquez sur la ligne correspondante afin d'afficher la page Modifier l'utilisateur. Sur la page Modifier l'utilisateur, vous pouvez effectuer les opérations suivantes :
- Activer ou désactiver le compte de service
- Modifier le nom du compte de service
- Gérer les clés API du compte de service
- Attribuer différents groupes et rôles
- Modifier les attributs utilisateur associés au compte de service
Migrer des comptes utilisateur vers des comptes de service
Dans les instances Looker (Original), certains comptes utilisateur standards peuvent être migrés vers des comptes de service réservés aux API. Pour pouvoir migrer, le compte utilisateur standard doit répondre à tous les critères suivants :
- Le compte n'utilise pas de fournisseur d'identité (Google, SAML ou OpenID Connect, par exemple) comme méthode d'authentification dans Looker.
- Aucun mot de passe n'est défini pour les identifiants de messagerie du compte.
- L'utilisateur ne s'est pas connecté à l'instance Looker au cours des sept derniers jours ou, si le compte a été créé il y a moins de sept jours, l'utilisateur ne s'est pas connecté depuis la création du compte.
Looker signale les utilisateurs standards qui remplissent ces critères dans la colonne Utilisateur de l'onglet Utilisateurs standards de la page Utilisateurs. De plus, une bannière s'affiche en haut de la page Utilisateurs pour indiquer que certains utilisateurs standards sont des comptes de service potentiels.
Si un compte utilisateur standard répond aux critères de migration, les deux options suivantes sont disponibles pour migrer un compte standard vers un compte de service :
Une option Migrer s'affiche dans le menu à trois points Options de la ligne du compte utilisateur éligible. Sélectionnez cet élément de menu. La boîte de dialogue Migrer l'utilisateur s'ouvre. Cliquez sur Migrer pour migrer l'utilisateur. Cliquez sur Annuler pour quitter la boîte de dialogue sans migrer.
Cliquez sur la ligne du compte utilisateur éligible pour accéder à la page Modifier l'utilisateur. En bas de la page Modifier l'utilisateur, cliquez sur le bouton Migrer. Dans la boîte de dialogue qui s'affiche, cliquez sur OK pour confirmer la migration ou sur Annuler pour quitter la boîte de dialogue sans migrer.
Si un compte utilisateur ne répond pas aux critères de migration, les options de migration ne s'affichent pas pour cet utilisateur.
La migration d'un compte utilisateur vers un compte de service ne crée pas d'identifiants API, mais les identifiants API associés au compte utilisateur sont migrés vers le compte de service.
Modification d'utilisateurs
Pour modifier un utilisateur, cliquez sur sa ligne. Sur la page Modifier l'utilisateur, ajustez les paramètres suivants si nécessaire.
Compte
Activez ou désactivez le compte d'un utilisateur. Envisagez de désactiver le compte utilisateur au lieu de le supprimer. Ce champ n'apparaît que pour les utilisateurs standards et les comptes de service.
Prénom
Ajoutez ou modifiez le prénom de l'utilisateur, le cas échéant. Il n'est pas nécessaire de remplir ce champ, mais cela peut être utile pour des raisons organisationnelles. Ce champ n'apparaît que pour les utilisateurs standards et les utilisateurs d'intégration.
Nom
Ajoutez ou modifiez le nom de famille de l'utilisateur, le cas échéant. Il n'est pas nécessaire de remplir ce champ, mais cela peut être utile pour des raisons organisationnelles. Ce champ n'apparaît que pour les utilisateurs standards et les utilisateurs d'intégration.
Nom du compte de service
Modifiez le nom du compte de service. Ce champ n'apparaît que pour les comptes de service.
Ajoutez ou modifiez l'adresse e-mail de l'utilisateur. Lorsque l'utilisateur se connecte à Looker, l'adresse e-mail lui sert de nom d'utilisateur. Ce champ n'apparaît que pour les utilisateurs standards.
Paramètres régionaux
Le champ Paramètres régionaux définit la langue de l'interface utilisateur et les paramètres régionaux du modèle pour un utilisateur. Ce champ n'apparaît que pour les utilisateurs standards.
Si vous souhaitez que l'utilisateur puisse voir certains éléments textuels de l'interface utilisateur (IU) dans une langue définie, Looker prend en charge les traductions d'IU indiquées dans le tableau suivant. Saisissez le code dans le champ Paramètres régionaux.
Si vous souhaitez que l'utilisateur consulte une version localisée d'un ou de plusieurs modèles de données, saisissez le titre du fichier de chaînes du modèle pour ce paramètre régional dans le champ Paramètre régional.
Si vous souhaitez que l'utilisateur puisse voir à la fois la localisation du modèle et les traductions intégrées de l'UI de Looker, le fichier de chaînes du modèle doit porter le même nom que le code de langue approprié dans le tableau suivant. Ce code doit être saisi dans le champ Paramètres régionaux.
Pour confirmer le paramètre Paramètres régionaux, cliquez sur Enregistrer en bas de la page.
| Langue | Code des paramètres régionaux et nom du fichier de chaîne |
|---|---|
| Anglais | en |
| Tchèque | cs_CZ |
| Allemand | de_DE |
| Espagnol (Espagne) | es_ES |
| Finnois | fi_FI |
| Français (Canada) | fr_CA |
| Français (France) | fr_FR |
| Hindi | hi_IN |
| Italien | it_IT |
| Japonais | ja_JP |
| Coréen | ko_KR |
| Lituanien | lt_LT |
| Norvégien (Bokmål) | nb_NO |
| Néerlandais | nl_NL |
| Polonais | pl_PL |
| Portugais (Brésil) | pt_BR |
| Portugais | pt_PT |
| Russe | ru_RU |
| Suédois | sv_SE |
| Thaï | th_TH |
| Turc | tr_TR |
| Ukrainien | uk_UA |
| Chinois simplifié | zh_CN |
| Chinois traditionnel | zh_TW |
Pour les utilisateurs pour lesquels aucun paramètre régional n'est défini, Looker utilise celui choisi sur la page Localisation du panneau Admin comme paramètre régional par défaut. Si aucun paramètre régional n'y est défini, Looker utilise en par défaut.
Définition d'un paramètre régional personnalisé
Les développeurs de Looker peuvent créer des paramètres régionaux personnalisés à utiliser uniquement pour la localisation de modèles. Les codes de paramètres régionaux personnalisés sont désignés par les titres des fichiers de chaînes créés lors du processus de localisation du modèle. Pour appliquer ces paramètres régionaux personnalisés, suivez les étapes suivantes :
Saisissez le code des paramètres régionaux personnalisés dans le champ Paramètres régionaux. Lorsque vous commencez la saisie dans le champ, tout texte préexistant disparaît.
Cliquez sur Créer "your_custom_locale_code".
Cliquez sur Enregistrer au bas de la page. Le code sera ajouté au menu déroulant des paramètres régionaux de l'utilisateur.
L'UI de Looker ne prend pas en charge les paramètres régionaux personnalisés. Si vous utilisez un paramètre régional personnalisé dans le champ Paramètre régional d'un utilisateur, l'interface utilisateur de cet utilisateur est définie par défaut sur la langue définie dans le paramètre régional de l'instance.
Format numérique
Le paramètre de format numérique par défaut de Looker concernant les chiffres affichés dans les tables de données et les visualisations est 1,234.56. Cependant, le format numérique peut être défini sur l'un des formats suivants :
- 1,234.56 : milliers séparés par des virgules ; décimales séparées par un point.
- 1.234,56 : milliers séparés par des points ; décimales séparées par une virgule.
- 1 234,56 : milliers séparés par des espaces ; décimales séparées par une virgule.
Pour en savoir plus et obtenir des exemples d'utilisation du paramètre Format numérique, consultez la page de documentation Localisation des formats numériques.
Ce champ n'apparaît que pour les utilisateurs standards.
Fuseau horaire
Si vous avez activé les fuseaux horaires spécifiques à l'utilisateur dans votre instance Looker, vous pouvez sélectionner le fuseau horaire qui sera utilisé lorsque cet utilisateur exécutera une requête dans Looker.
Envoyer un lien de configuration / Envoyer un lien de réinitialisation
Si l'utilisateur ne s'est jamais connecté auparavant, ce bouton porte l'indication Envoyer un lien de configuration. Si l'utilisateur s'est déjà connecté auparavant, ce bouton porte l'indication Envoyer un lien de réinitialisation. Pour définir ou réinitialiser un mot de passe, vous pouvez cliquer sur ce bouton pour envoyer un lien à l'adresse e-mail de l'utilisateur que vous avez spécifiée auparavant. Pour en savoir plus sur les exigences relatives à l'utilisation de mots de passe complexes dans Looker, consultez la page de documentation Exigences en matière de mots de passe. L'utilisateur dispose d'une heure pour réinitialiser son mot de passe. Passé ce délai, le lien de réinitialisation expire.
Ce champ n'apparaît que pour les utilisateurs standards.
Secret à deux facteurs
Cette option apparaît si vous avez activé l'authentification à deux facteurs (A2F) sur votre instance. Cliquez sur le bouton Réinitialiser pour réinitialiser l'authentification à deux facteurs pour l'utilisateur. Looker invite alors l'utilisateur à scanner à nouveau un code QR avec l'application Google Authenticator lors de la tentative suivante de connexion à l'instance Looker.
Ce champ n'apparaît que pour les utilisateurs standards.
Clés API
Une clé API permet d'accéder à l'API Looker. Les clés API sont créées dans Looker et se composent d'un ID client et d'un code secret du client. Une clé API est nécessaire pour exécuter les commandes de l'API Looker.
Ce champ n'apparaît que pour les utilisateurs standards et les comptes de service.
Dans une instance Looker (version initiale), les administrateurs Looker gèrent les clés API des utilisateurs.
Pour générer des clés API, dans la section Clés API de la page Admin > Utilisateurs > Modifier l'utilisateur, cliquez sur le bouton Modifier les clés. La page Modifier les clés API de l'utilisateur s'ouvre et affiche les clés API existantes. Cliquez sur le bouton Nouvelle clé API pour générer une clé.
Sur une instance Looker (Google Cloud Core), les administrateurs Looker permettent aux utilisateurs individuels de gérer leurs propres clés API.
Pour permettre à un utilisateur de gérer ses clés API, dans la section Clés API de la page Admin > Utilisateurs > Modifier l'utilisateur, utilisez le champ Clés API pour activer ou désactiver la possibilité pour l'utilisateur de créer, d'afficher et de supprimer des clés API pour son compte utilisateur.
Une fois que vous avez autorisé un utilisateur à gérer ses clés API, il peut le faire depuis la page Compte. Vous pouvez également cliquer sur le bouton Afficher les clés API pour ouvrir la page Clés API de l'utilisateur, où vous pouvez afficher ses clés API.
Les administrateurs Looker gèrent les clés API pour les comptes de service réservés aux API.
Pour générer des clés API pour un compte de service réservé aux API, cliquez sur le bouton Gérer dans la section Clés API de la page Admin > Utilisateurs > Modifier l'utilisateur. La page Clés API s'ouvre et affiche les clés API existantes. Cliquez sur le bouton Create New API Key (Créer une clé API) pour générer une clé.
Les clés API ont les mêmes autorisations que le compte utilisateur ou le compte de service à partir duquel elles ont été créées.
Il est recommandé de créer des comptes de service dédiés pour les scripts API (un compte de service pour chaque script). Ainsi, vous pourrez configurer un compte de service avec un ensemble d'autorisations spécifiques pour que le script puisse exécuter sa fonction et uniquement sa fonction. Par exemple, pour un script API exécutant des requêtes, vous pouvez créer un compte de service uniquement avec l'autorisation access_data.
Les comptes de service dédiés aux scripts d'API vous permettent d'accroître la sécurité en compartimentant l'accès d'un script. De plus, si vous devez arrêter un script, vous pouvez désactiver (ou supprimer) le compte de service de ce script. Veillez à lire la section Supprimer l'accès d'un utilisateur sur cette page avant de supprimer un compte utilisateur.
Groupes
Liste les groupes dont l'utilisateur est membre. Vous pouvez ajouter l'utilisateur à un nouveau groupe en sélectionnant ce groupe dans le menu déroulant ou le supprimer d'un groupe en cliquant sur X à côté du nom du groupe dans la liste.
Il est également possible d'ajouter des utilisateurs à des groupes sur la page Groupes du panneau Admin.
Rôles
Liste les rôles attribués à l'utilisateur. Vous pouvez attribuer un nouveau rôle à l'utilisateur en le sélectionnant dans la liste déroulante ou supprimer un rôle en cliquant sur X à côté du nom du rôle dans la liste.
Il est également possible d'ajouter des rôles sur la page d'administration Rôles.
Attributs utilisateur
Définit et supprime les valeurs des attributs utilisateur d'un utilisateur. Les valeurs attribuées à chaque utilisateur écrasent toujours celles qui lui sont attribuées en tant que membre d'un groupe. Les paramètres système ne sont pas modifiables.
Suppression d'un accès utilisateur
Pour qu'un compte utilisateur ou de service n'ait plus accès à Looker, vous pouvez soit le désactiver, soit le supprimer. Dans la plupart des cas, il est recommandé de désactiver le compte.
Les différences entre la désactivation et la suppression d'un compte sont décrites dans le tableau suivant :
| Description | Désactivé | Supprimé |
|---|---|---|
| L'utilisateur peut se connecter à l'instance Looker | Non | Non |
| Dossier personnel de l'utilisateur | Conservé | Supprimé |
| Présentations et tableaux de bord du dossier personnel de l'utilisateur | Conservés | Éléments déplacés vers le dossier Corbeille |
| Présentations et tableaux de bord enregistrés par l'utilisateur dans un dossier partagé | Conservés dans le dossier partagé | Conservés dans le dossier partagé |
| Planifications créées par l'utilisateur | Planifications désactivées | Planifications supprimées |
| Planifications basées sur le contenu de l'utilisateur, mais créées par un autre utilisateur | Exécution des planifications conservée | Contenu de l'utilisateur supprimé ; les programmations basées sur ce contenu sont supprimées |
| Planifications recensant cet utilisateur comme un destinataire et créées par un autre utilisateur ayant la capacité d'envoyer du contenu à des comptes liés à des adresses e-mail externes | L'exécution et l'envoi des planifications seront conservés (l'utilisateur sera considéré comme un utilisateur externe) | Exécution et envoi des planifications conservés (l'utilisateur est considéré comme un utilisateur externe) |
| Planifications pour lesquelles l'option Exécuter la planification en tant que destinataire est activée et qui recensent l'utilisateur comme destinataire | Exécution des planifications conservée mais échec de l'envoi à l'utilisateur désactivé lors de la prochaine exécution | Exécution des planifications conservée mais échec de l'envoi à tous les utilisateurs avec l'erreur run_as_recipient was specified on ScheduledPlan but recipient is not a Looker user |
| Tableaux de bord créés par l'utilisateur | Conservés | Conservés |
| Alertes créées par l'utilisateur | Restent actives mais ne sont pas visibles et ne peuvent pas être modifiées à partir du tableau de bord sur lequel elles sont définies, sauf si un administrateur les a attribuées à lui-même. Les administrateurs peuvent modifier l'alerte ou se l'attribuer eux-mêmes sur la page d'administration Alertes du panneau Admin. | Les alertes sont immédiatement supprimées des tableaux de bord et de la page d'administration Alertes du panneau Admin. |
| Informations concernant l'historique d'utilisation individuelle | Conservées | Supprimées en majorité |
Désactivation d'utilisateurs
Pour empêcher un compte utilisateur ou un compte de service d'accéder à Looker, il est généralement recommandé de désactiver le compte. Lorsque vous désactivez un compte, l'historique d'utilisation et les contenus personnels sont conservés. Pour en savoir plus sur la différence entre la désactivation et la suppression de comptes, consultez le tableau de la section Supprimer l'accès à un compte utilisateur sur cette page.
Si vous utilisez une instance Looker (Google Cloud Core), la désactivation d'un utilisateur n'affecte pas ses autorisations IAM. Supprimez les autorisations IAM Looker pour vous assurer qu'un utilisateur ne peut pas accéder à l'instance.
Pour désactiver un compte, vous pouvez sélectionner Désactiver dans le menu à trois points Options à droite de la ligne de l'utilisateur.
Supprimer des comptes utilisateur
Au lieu de supprimer un utilisateur, envisagez de désactiver son compte. Cette action empêche un utilisateur de se connecter, mais ses informations, son contenu et son historique restent intacts. Pour en savoir plus sur la différence entre la désactivation et la suppression d'utilisateurs, consultez le tableau de la section Supprimer l'accès à un compte utilisateur sur cette page.
Si vous utilisez une instance Looker (Google Cloud Core), la suppression d'un utilisateur n'affecte pas ses autorisations IAM. Supprimez les autorisations IAM Looker pour vous assurer qu'un utilisateur ne peut pas accéder à l'instance.
Pour supprimer un compte, vous pouvez effectuer l'une des actions suivantes :
- Dans le menu à trois points Options situé à droite de la ligne du compte, sélectionnez Supprimer.
- Sur la page Modifier l'utilisateur du compte, cliquez sur le bouton Supprimer.
Si vous supprimez des utilisateurs d'un compte Looker associé à un abonnement Looker Studio Pro, le nombre de licences Looker Studio Pro sans frais attribuées au compte est réduit. Si le nombre de licences Pro sans frais attribuées à votre compte devient inférieur au nombre de licences en cours d'utilisation, la différence sera convertie en licences payantes dans les 24 heures, conformément aux tarifs de Looker Studio Pro.
Emprunt de l'identité d'utilisateurs (commande Sudo)
Cette commande d'émulation vous permet d'utiliser Looker comme si vous étiez un autre utilisateur, avec tous ses privilèges et capacités.
La commande Sudo est également un moyen utile de valider que vous avez bien configuré les autorisations ainsi que d'autres fonctionnalités ou d'afficher le développement LookML d'un utilisateur avant de valider et de mettre en production ses modifications.
Les autorisations see_users et sudo sont toutes deux requises pour exécuter une commande Sudo en tant qu'autre utilisateur. Les administrateurs peuvent se substituer à n'importe quel utilisateur, y compris aux autres administrateurs. Les utilisateurs non-administrateurs peuvent uniquement emprunter l'identité d'autres utilisateurs non-administrateurs.
Pour emprunter l'identité d'un utilisateur, sélectionnez Sudo sous l'identité de cet utilisateur dans le menu à trois points Options à droite de la ligne de l'utilisateur :
Une barre affichée en haut de l'écran vous signale que vous utilisez une commande Sudo. Que vous pouvez y mettre un terme. Toute modification apportée pendant l'utilisation de cette commande va se répercuter sur le compte de l'utilisateur que vous émulez.
Si vous êtes en mode Développement, vos modifications ne sont pas visibles par les autres utilisateurs tant que vous ne les avez pas déployées en production. Si vous n'avez pas déployé vos modifications pour que d'autres utilisateurs puissent les voir, elles n'apparaîtront pas lorsque vous exécuterez la commande Sudo sur un autre utilisateur.
Exécuter la commande Sudo en tant qu'utilisateur intégré signé et interagir directement avec une instance Looker au lieu de passer par un iFrame intégré risque de produire des résultats inattendus. Outre les restrictions de leurs autorisations habituelles, les utilisateurs intégrés connectés sont limités par l'iFrame intégré. Cependant, ces restrictions peuvent ne pas exister en cas d'exécution de la commande Sudo en tant qu'utilisateur intégré connecté et d'interaction extérieure à un iFrame.
Pour les connexions à des bases de données qui utilisent OAuth, comme Snowflake et Google BigQuery, un administrateur qui exécute une commande sudo en tant qu'utilisateur utilisera le jeton d'accès OAuth de l'utilisateur sudo lorsqu'il exécutera des requêtes. Dans le cas de connexions à Snowflake, si le jeton d'accès de l'utilisateur a expiré, l'administrateur ne peut pas créer de nouveau jeton pour le compte de l'utilisateur faisant l'objet de la commande Sudo. L'utilisateur doit se connecter à Snowflake et autoriser à nouveau Looker.