En la página Usuarios de la sección Usuarios del panel Administración, se muestran todas las cuentas de usuario de tu instancia de Looker.
Ver y buscar usuarios
La página Usuarios muestra la siguiente información:
Las pestañas agrupan a los usuarios por tipo:
- En la pestaña Usuarios estándar se muestran los usuarios que inician sesión en Looker directamente, ya sea mediante el proceso de autenticación habitual o a través de la API de Looker.
- En la pestaña Usuarios insertados se muestran los usuarios de inserciones firmadas que se autentican a través de una aplicación de terceros.
- En la pestaña Cuentas de servicio se muestran las cuentas de servicio solo para APIs que se autentican a través de la API de Looker mediante claves de API.
- En la pestaña Asistencia de Looker se muestran los analistas del equipo de Asistencia de Looker a los que se les ha concedido acceso a tu instancia de Looker.
El campo Filtrar lista limita los usuarios que se muestran. Puedes filtrar por ID, nombre o dirección de correo electrónico del usuario. Para filtrar por ID de usuario, introduzca un ID de usuario para mostrarlo. En el caso del nombre y la dirección de correo, cuando introduces cualquier cadena, en la lista de usuarios se muestran todos los usuarios cuyo nombre o dirección de correo contenga la cadena introducida en el campo de filtro. La lista de filtros sustituye a la función de búsqueda de la versión anterior de la página Usuarios.
Si hace clic en el encabezado de la columna Usuario, la tabla se ordenará por nombre de usuario en orden ascendente o descendente.
En cada fila se muestra el nombre, el ID y la dirección de correo del usuario, así como un icono que indica el tipo de acceso que tiene. Coloca el cursor sobre el icono para ver lo que representa.
Haz clic en la fila para editar el usuario. Los usuarios que no se pueden editar se indican con un candado en el icono de usuario. Estos usuarios se crean en el sistema (como los miembros del grupo Todos los usuarios) o se gestionan externamente mediante los protocolos LDAP, SAML u OpenID Connect.
En la columna Credencial activa se indican los tipos de acceso que tiene el usuario a tu instancia de Looker. Esta columna solo aparece en la pestaña Usuarios estándar.
En la columna Grupos se muestran todos los grupos a los que pertenece el usuario.
En la columna Roles se muestran todos los roles asignados al usuario.
Haz clic en el botón Añadir para crear usuarios y cuentas de servicio.
Haz clic en el menú de tres puntos Opciones para inhabilitar al usuario, usar sudo como el usuario, eliminar al usuario o migrar una cuenta de usuario a una cuenta de servicio.
Añadir usuarios estándar
Para añadir un usuario estándar, sigue estos pasos:
- Haz clic en el botón Añadir para que se muestre un menú desplegable.
- Haz clic en la opción de menú Usuarios para abrir la página Añadir usuarios.
- En la página Añadir un usuario, escribe o pega una lista de direcciones de correo separadas por comas en el campo Direcciones de correo.
- En el campo Grupos, selecciona los grupos que se asignarán a los usuarios. Para ver la lista de grupos, empieza a escribir en el campo Grupos. Aparecerán todos los nombres de grupo que incluyan ese texto.
- En el campo Roles, selecciona los roles que se asignarán a los usuarios.
- Haz clic en el botón Guardar para crear los usuarios y, si has marcado la casilla Enviar correos de configuración, para enviar correos de registro.
Crear una cuenta de servicio solo para APIs
Puedes crear cuentas solo para APIs (a menudo llamadas cuentas de servicio) en la página Usuarios de una instancia de Looker. A estas cuentas se les pueden conceder el rol de administrador de Looker y las credenciales de la API de Looker. Sin embargo, estas cuentas no pueden iniciar sesión en Looker a través de la interfaz de usuario. Para añadir una cuenta de servicio, sigue estos pasos:
- Haz clic en el botón Añadir para que se muestre un menú desplegable.
- Haz clic en el elemento de menú Cuenta de servicio para abrir la página Añadir una cuenta de servicio.
- En el campo Nombre de cuenta de servicio, dale un nombre a esa cuenta.
- El interruptor Crear conjunto predeterminado de credenciales de API está habilitado de forma predeterminada. Si no quieres que se creen credenciales de API para la cuenta, haz clic en el interruptor para inhabilitar esta opción.
- Selecciona los grupos y los roles que quieras asignar a la cuenta de servicio.
- Haz clic en el botón Save (Guardar).
Puede ver y editar las cuentas de servicio en la pestaña Cuentas de servicio de la página Usuarios. Para editar una cuenta de servicio, haz clic en la fila correspondiente para que se muestre la página Editar usuario. En la página Editar usuario, puedes hacer lo siguiente:
- Habilitar o inhabilitar la cuenta de servicio
- Editar el nombre de la cuenta de servicio
- Gestionar las claves de API de la cuenta de servicio
- Asignar diferentes grupos y roles
- Edita los atributos de usuario asociados a la cuenta de servicio.
Migrar cuentas de usuario a cuentas de servicio
En las instancias de Looker (original), algunas cuentas de usuario estándar se pueden migrar a cuentas de servicio solo con API. Para poder migrar, la cuenta de usuario estándar debe cumplir todos los criterios siguientes:
- La cuenta no usa un proveedor de identidades, como Google, SAML u OpenID Connect, como método de autenticación en Looker.
- La cuenta no tiene una contraseña configurada para sus credenciales de correo electrónico.
- El usuario no ha iniciado sesión en la instancia de Looker en los últimos siete días o, si la cuenta se creó hace menos de siete días, el usuario no ha iniciado sesión desde que se creó la cuenta.
Looker marca a los usuarios estándar que cumplen estos criterios en la columna Usuario de la pestaña Usuarios estándar de la página Usuarios. Además, en la parte superior de la página Usuarios aparece un banner que indica que algunos usuarios estándar pueden ser cuentas de servicio.
Si una cuenta de usuario estándar cumple los criterios de migración, se pueden usar las dos opciones siguientes para migrarla a una cuenta de servicio:
En la fila de la cuenta de usuario apta, aparece la opción Migrar en el menú de tres puntos Opciones. Selecciona ese elemento de menú y se abrirá el cuadro de diálogo Migrar usuario. Haz clic en Migrar para migrar al usuario. Haz clic en Cancelar para salir del cuadro de diálogo sin migrar.
Haz clic en la fila de la cuenta de usuario apta para acceder a la página Editar usuario. En la parte inferior de la página Editar usuario, haga clic en el botón Migrar. En el cuadro de diálogo que aparece, haz clic en Aceptar para confirmar la migración o en Cancelar para salir del cuadro de diálogo sin migrar.
Si una cuenta de usuario no cumple los criterios de migración, las opciones de migración no se mostrarán para ese usuario.
Al migrar una cuenta de usuario a una cuenta de servicio, no se crean credenciales de API, pero las credenciales de API asociadas a la cuenta de usuario se migrarán a la cuenta de servicio.
Editar usuarios
Para editar un usuario, haz clic en su fila. En la página Editar usuario, ajusta la siguiente configuración según sea necesario.
Cuenta
Habilitar o inhabilitar la cuenta de un usuario. Puedes inhabilitar la cuenta de usuario en lugar de eliminarla. Este campo solo aparece en el caso de los usuarios estándar y las cuentas de servicio.
Nombre
Añade o edita el nombre del usuario, si procede. Este campo no requiere ningún valor, pero puede ser útil para organizar la información. Este campo solo aparece para los usuarios estándar y los usuarios de inserciones.
Apellidos
Añade o edita los apellidos del usuario, si procede. Este campo no requiere ningún valor, pero puede ser útil para organizar la información. Este campo solo aparece para los usuarios estándar y los usuarios de inserciones.
Nombre de cuenta de servicio
Edita el nombre de la cuenta de servicio. Este campo solo aparece en las cuentas de servicio.
Correo electrónico
Añade o edita la dirección de correo del usuario. Cuando el usuario inicia sesión en Looker, la dirección de correo electrónico se utiliza como nombre de usuario. Este campo solo aparece para los usuarios estándar.
Configuración regional
El campo Configuración regional define el idioma de la interfaz de usuario y la configuración regional del modelo de un usuario. Este campo solo aparece para los usuarios estándar.
Si quieres que el usuario vea determinado texto de la interfaz de usuario en un idioma específico, Looker admite las traducciones de la interfaz de usuario que se muestran en la siguiente tabla. Introduce el código en el campo Configuración regional.
Si quiere que el usuario vea una versión localizada de uno o varios modelos de datos, introduzca el título del archivo de cadenas del modelo para esa configuración regional en el campo Configuración regional.
Si quieres que el usuario vea tanto la localización del modelo como las traducciones de la interfaz de usuario integradas de Looker, el archivo de cadenas del modelo debe tener el mismo nombre que el código de configuración regional correspondiente de la siguiente tabla, y ese código debe introducirse en el campo Configuración regional.
Para confirmar la configuración de Configuración regional, haz clic en Guardar en la parte inferior de la página.
| Idioma | Código regional y nombre de archivo de cadenas |
|---|---|
| Inglés | en |
| Checo | cs_CZ |
| Alemán | de_DE |
| Español (España) | es_ES |
| Finés | fi_FI |
| Francés (Canadá) | fr_CA |
| Francés (Francia) | fr_FR |
| Hindi | hi_IN |
| Italiano | it_IT |
| Japonés | ja_JP |
| Coreano | ko_KR |
| Lituano | lt_LT |
| Noruego (bokmål) | nb_NO |
| neerlandés | nl_NL |
| Polaco | pl_PL |
| portugués de Brasil | pt_BR |
| Portugués | pt_PT |
| Ruso | ru_RU |
| Sueco | sv_SE |
| Tailandés | th_TH |
| Turco | tr_TR |
| Ucraniano | uk_UA |
| Chino simplificado | zh_CN |
| Chino tradicional | zh_TW |
En el caso de los usuarios que no tengan ningún valor definido en Configuración regional, Looker usará la configuración regional elegida en la página Localización del panel Administrar como configuración regional predeterminada. Si no se ha definido ninguna configuración regional, Looker usará en de forma predeterminada.
Definir una configuración regional personalizada
Los desarrolladores de Looker pueden crear configuraciones regionales personalizadas para usarlas únicamente en la localización de modelos. Los códigos de configuración regional personalizados se designan mediante los títulos de los archivos de cadena que se crean en el proceso de localización del modelo. Para aplicar esa configuración regional personalizada a los usuarios, sigue estos pasos:
Introduce el código de configuración regional personalizado en el campo Configuración regional. Cuando empieces a escribir en el campo, desaparecerá el texto que ya había.
Haz clic en Crear "your_custom_locale_code".
En la parte inferior de la página, haga clic en Guardar. El código se añadirá al menú desplegable de la configuración regional del usuario.
La interfaz de usuario de Looker no admite configuraciones regionales personalizadas. Si usas una configuración regional personalizada en el campo Configuración regional de un usuario, la interfaz de usuario de ese usuario se mostrará de forma predeterminada en el idioma que se haya definido en la configuración regional de la instancia.
Formato de número
El formato de número predeterminado de Looker para los números que aparecen en las tablas de datos y las visualizaciones es 1.234,56. Sin embargo, el formato de número puede ser cualquiera de los siguientes:
- 1.234,56: los millares se separan con comas y los decimales, con un punto.
- 1.234,56: los millares se separan con puntos y los decimales, con comas.
- 1 234,56: los millares se separan con espacios y los decimales, con comas.
Para obtener más información y ejemplos sobre el uso del ajuste Formato de número, consulta la página de documentación Localizar el formato de número.
Este campo solo aparece para los usuarios estándar.
Zona horaria
Si has habilitado la opción Zonas horarias específicas de los usuarios en tu instancia de Looker, puedes seleccionar la zona horaria que se usará cuando este usuario ejecute una consulta en Looker.
Enviar enlace de configuración o de restablecimiento
Si el usuario nunca ha iniciado sesión, este botón se llama Enviar enlace de configuración. Si el usuario ya ha iniciado sesión, este botón se llama Enviar enlace de restablecimiento. Si necesitas definir o restablecer una contraseña, puedes hacer clic en este botón para enviar un enlace a la dirección de correo del usuario que hayas especificado anteriormente. Consulta la página de documentación sobre los requisitos de las contraseñas para obtener información sobre cómo especificar los requisitos de complejidad de las contraseñas en Looker. Si el usuario no cambia su contraseña en el plazo de una hora, el enlace para restablecerla caducará.
Este campo solo aparece para los usuarios estándar.
Secreto de autenticación de dos factores
Esta opción aparece si has habilitado la autenticación de dos factores (2FA) en tu instancia. Haz clic en el botón Restablecer para restablecer la autenticación de dos factores del usuario. De este modo, Looker pedirá al usuario que vuelva a escanear un código QR con la aplicación Google Authenticator la próxima vez que intente iniciar sesión en la instancia de Looker.
Este campo solo aparece para los usuarios estándar.
Claves de API
Una clave de API se usa para acceder a la API de Looker. Las claves de API se crean en Looker y constan de un ID de cliente y un secreto de cliente. Looker requiere una clave de API para ejecutar comandos con la API de Looker.
Este campo solo aparece en el caso de los usuarios estándar y las cuentas de servicio.
En una instancia de Looker (original), los administradores de Looker gestionan las claves de API de los usuarios.
Para generar claves de API, en la sección Claves de API de la página Administración > Usuarios > Editar usuario, haga clic en el botón Editar claves. Se abrirá la página Editar claves de API de usuario, donde se mostrarán las claves de API que ya tengas. Haz clic en el botón Nueva clave de API para generar una clave.
En una instancia de Looker (Google Cloud core), los administradores de Looker permiten que los usuarios gestionen sus propias claves de API.
Para permitir que un usuario gestione sus claves de API, en la sección Claves de API de la página Administrar > Usuarios > Editar usuario, usa el campo Claves de API para habilitar o inhabilitar la capacidad del usuario de crear, ver y eliminar claves de API de su cuenta de usuario.
Una vez que hayas habilitado a un usuario para que gestione sus claves de API, podrá hacerlo desde su página Cuenta. También puedes hacer clic en el botón Ver claves de API para abrir la página Claves de API del usuario, donde puedes ver sus claves de API.
Los administradores de Looker gestionan las claves de API de las cuentas de servicio solo para APIs.
Para generar claves de API para una cuenta de servicio solo de API, en la sección Claves de API de la página Administración > Usuarios > Editar usuario, haz clic en el botón Gestionar. Se abre la página Claves de API, donde se muestran las claves de API que ya tengas. Haz clic en el botón Crear clave de API para generar una nueva clave.
Las claves de API tienen los mismos permisos que la cuenta de usuario o de servicio desde la que se crearon.
Se recomienda crear cuentas de servicio específicas para las secuencias de comandos de la API (una cuenta de servicio por secuencia de comandos). De esta forma, puedes configurar una cuenta de servicio con el conjunto específico de permisos que permite que la secuencia de comandos realice su función y solo su función. Por ejemplo, en el caso de una secuencia de comandos de API que ejecute consultas, puedes crear una cuenta de servicio con el permiso access_data, pero sin ningún otro permiso.
Las cuentas de servicio dedicadas para las secuencias de comandos de las APIs te permiten aumentar la seguridad al compartimentar el acceso de una secuencia de comandos. Además, si alguna vez necesitas detener una secuencia de comandos, puedes inhabilitar (o eliminar) la cuenta de servicio de esa secuencia de comandos. Antes de eliminar una cuenta de usuario, lee la sección Retirar el acceso de un usuario de esta página.
Grupos
Muestra los grupos a los que pertenece el usuario. Para añadir al usuario a un grupo nuevo, selecciona el grupo en el menú desplegable. Para quitarlo de un grupo, haz clic en X junto al nombre del grupo en la lista.
También se pueden añadir usuarios a grupos en la página Grupos del panel Administrar.
Roles
Muestra los roles asignados al usuario. Para añadir un rol a un usuario, selecciona el rol en el menú desplegable. Para quitar un rol a un usuario, haz clic en X junto al nombre del rol en la lista.
También se pueden añadir roles en la página de administrador Roles.
Atributos de usuario
Define y anula los valores de los atributos de usuario. Los valores asignados a un usuario concreto siempre anulan los valores asignados como resultado de la pertenencia a un grupo. Los ajustes del sistema no se pueden editar.
Inhabilitar el acceso de usuario
Para quitar el acceso a Looker a una cuenta de usuario o a una cuenta de servicio, puedes inhabilitar o eliminar la cuenta. En la mayoría de los casos, lo más recomendable es inhabilitar la cuenta.
En la siguiente tabla se describen las diferencias entre inhabilitar y eliminar una cuenta:
| Descripción | Inhabilitado | Eliminado |
|---|---|---|
| El usuario puede iniciar sesión en la instancia de Looker | No | No |
| La carpeta personal del usuario | Sigue existiendo | Eliminado |
| Looks y paneles de control en la carpeta personal del usuario | Sigue existiendo | Se ha movido a la carpeta Papelera |
| Looks y paneles que el usuario ha guardado en una carpeta compartida | Siguen estando en la carpeta Compartido | Siguen estando en la carpeta Compartido |
| Programaciones creadas por el usuario | Las programaciones están inhabilitadas | Se eliminan las programaciones |
| Programaciones basadas en el contenido del usuario, pero creadas por otro usuario | Las programaciones siguen ejecutándose | Se elimina el contenido del usuario y las programaciones basadas en ese contenido |
| Programaciones en las que el usuario aparece como destinatario y que ha creado otro usuario con la capacidad de enviar contenido a cuentas de correo externas | Las programaciones seguirán ejecutándose y enviándose con normalidad (el usuario se tratará como un usuario externo). | Las programaciones seguirán ejecutándose y funcionando con normalidad (el usuario se tratará como un usuario externo). |
| Las programaciones que tienen habilitada la opción Ejecutar programación como destinatario y en las que el usuario aparece como destinatario | Las programaciones seguirán ejecutándose, pero no se enviarán al usuario inhabilitado la próxima vez que se ejecuten. | Las programaciones seguirán ejecutándose, pero no se enviarán a todos los usuarios y se mostrará el error run_as_recipient was specified on ScheduledPlan but recipient is not a Looker user. |
| Pizarras creadas por el usuario | Sigue existiendo | Sigue existiendo |
| Alertas creadas por el usuario | Permanecen activas, pero no se pueden ver ni editar desde el panel de control en el que se ha configurado la alerta, a menos que un administrador se la asigne a sí mismo. Los administradores pueden editar o autoasignarse la alerta desde la página de administración Alertas del panel Administración. | Las alertas se eliminan inmediatamente de los paneles de control y de la página de administración Alertas del panel Administrar. |
| Información histórica sobre el uso del usuario. | Se ha mantenido | La mayoría se han eliminado |
Inhabilitar usuarios
Para impedir el acceso de una cuenta de usuario o de una cuenta de servicio a Looker, lo más recomendable es inhabilitar la cuenta. Cuando inhabilitas una cuenta, se conservan el historial de uso y el contenido personal de la cuenta. Para obtener más información sobre las diferencias entre inhabilitar y eliminar cuentas, consulta la tabla de la sección Quitar el acceso de usuarios de esta página.
Si usas una instancia de Looker (Google Cloud core), inhabilitar a un usuario no afectará a sus permisos de gestión de identidades y accesos. Quita los permisos de gestión de identidades y accesos de Looker para asegurarte de que un usuario no pueda acceder a la instancia.
Para inhabilitar una cuenta, puedes seleccionar Inhabilitar en el menú de tres puntos Opciones situado a la derecha de la fila del usuario.
Cómo eliminar usuarios
En lugar de eliminar un usuario, puedes inhabilitar su cuenta. De esta forma, el usuario no podrá iniciar sesión, pero su información, contenido e historial se conservarán. Para obtener más información sobre las diferencias entre inhabilitar y eliminar usuarios, consulta la tabla de la sección Retirar el acceso de un usuario de esta página.
Si usas una instancia de Looker (Google Cloud core), eliminar un usuario no afectará a sus permisos de gestión de identidades y accesos. Quita los permisos de gestión de identidades y accesos de Looker para asegurarte de que un usuario no pueda acceder a la instancia.
Para eliminar una cuenta, puedes hacer lo siguiente:
- En el menú de tres puntos Opciones situado a la derecha de la fila de la cuenta, selecciona Eliminar.
- En la página Editar usuario de la cuenta, haz clic en el botón Eliminar.
Si eliminas usuarios de una cuenta de Looker asociada a una suscripción a Looker Studio Pro, se reduce el número de licencias sin coste económico de Looker Studio Pro asignadas a la cuenta. Si el número de licencias Pro sin coste económico asignadas a tu cuenta es inferior al número de licencias en uso, la diferencia se convertirá en un plazo de 24 horas en licencias de pago, de acuerdo con los precios de Looker Studio Pro.
Suplantación de identidad de usuarios (sudo)
La función de sudo te permite navegar por Looker como si fueras otro usuario, con todos sus privilegios y capacidades.
Usar sudo también es una forma útil de validar que has configurado correctamente los permisos y otras funciones, o de ver el desarrollo de LookML de un usuario antes de que haya confirmado y enviado los cambios.
Para usar sudo como otro usuario, se necesitan los permisos see_users y sudo. Los administradores pueden usar sudo como cualquier otro usuario, incluidos otros administradores. Los usuarios que no son administradores solo pueden usar sudo como otros usuarios que no son administradores.
Para usar sudo como un usuario, selecciona Usar sudo como este usuario en el menú de tres puntos Opciones situado a la derecha de la fila del usuario:
Una barra en la parte superior de la pantalla te avisa de que estás en un estado con sudo. De esta forma, puedes salir del estado de sudo. Los cambios que se hagan en este estado afectarán al usuario al que estés emulando.
Si estás en el modo Desarrollo, los demás usuarios no verán los cambios hasta que implementes los cambios en producción. Si no has implementado los cambios para que los vean otros usuarios, no los verás cuando uses sudo como otro usuario.
Si se usa sudo como usuario de inserción firmada y se interactúa con una instancia de Looker directamente, en lugar de hacerlo a través de un iframe insertado, se pueden obtener resultados inesperados. Además de las restricciones derivadas de sus permisos habituales, los usuarios de inserciones con sesión iniciada están restringidos por el iframe insertado. Sin embargo, es posible que esas restricciones no se apliquen cuando alguien use sudo como usuario de inserción firmado e interactúe fuera de un iframe.
En el caso de las conexiones de bases de datos que usan OAuth, como Snowflake y Google BigQuery, un administrador que suplante la identidad de otro usuario usará el token de acceso OAuth del usuario suplantado cuando ejecute consultas. En el caso de las conexiones de Snowflake, si el token de acceso del usuario ha caducado, el administrador no puede crear un token en nombre del usuario con permisos de superusuario. El usuario debe iniciar sesión en Snowflake y volver a autorizar Looker.