En la página Usuarios de la sección Usuarios del panel Administrador, se enumeran todas las cuentas de usuario de tu instancia de Looker.
Cómo ver y buscar usuarios
En la página Usuarios, se muestra la siguiente información:
Las pestañas agrupan a los usuarios por tipo:
- En la pestaña Usuarios estándar, se muestran los usuarios que acceden a Looker directamente, ya sea a través del proceso de autenticación normal o de la API de Looker.
- En la pestaña Usuarios incorporados, se muestran los usuarios de incorporación firmada que se autenticaron a través de una aplicación de terceros.
- En la pestaña Cuentas de servicio, se muestran las cuentas de servicio solo para la API que se autentican a través de la API de Looker con claves de API.
- En la pestaña Asistencia de Looker, se muestran los analistas de asistencia de Looker a los que se les otorgó acceso a tu instancia de Looker.
El campo Filter List limita los usuarios que se muestran. Puedes filtrar por ID, nombre o dirección de correo electrónico del usuario. Para filtrar por ID de usuario, ingresa un ID de usuario para mostrarlo. En el caso del nombre y la dirección de correo electrónico, cuando ingresas cualquier cadena, la lista de usuarios que se muestra incluye a todos los usuarios cuyo nombre o dirección de correo electrónico contiene la cadena ingresada en el campo de filtro. La Lista de filtros reemplaza la función de búsqueda en la versión anterior de la página Usuarios.
Si haces clic en el encabezado de la columna Usuario, se ordenará la tabla por nombre de usuario en orden ascendente o descendente.
En cada fila, se indican el nombre, el ID y la dirección de correo electrónico del usuario, y se incluye un ícono que indica el tipo de acceso que tiene el usuario. Coloca el cursor sobre el ícono para ver qué representa.
Haz clic en la fila para editar el usuario. Los usuarios que no se pueden editar se indican con un candado en el ícono de usuario. Estos usuarios se crean en el sistema (como los miembros del grupo Todos los usuarios) o se administran de forma externa con el protocolo LDAP, SAML o OpenID Connect.
En la columna Credencial activa, se enumeran los tipos de acceso que tiene el usuario a tu instancia de Looker. Esta columna solo aparece en la pestaña Usuarios estándar.
En la columna Grupos, se enumeran todos los grupos a los que pertenece el usuario.
En la columna Roles, se enumeran todos los roles que se asignaron al usuario.
Haz clic en el botón Agregar para crear usuarios y cuentas de servicio nuevos.
Haz clic en el menú de tres puntos Opciones para inhabilitar al usuario, ejecutar sudo como el usuario, borrar al usuario o migrar una cuenta de usuario a una cuenta de servicio.
Cómo agregar usuarios estándar
Para agregar un usuario estándar, completa los siguientes pasos:
- Haz clic en el botón Agregar para que aparezca un menú desplegable.
- Haz clic en el elemento de menú Usuarios para abrir la página Agregar usuarios nuevos.
- En la página Agregar un usuario nuevo, escribe o pega una lista de direcciones de correo electrónico separadas por comas en el campo Direcciones de correo electrónico.
- En el campo Grupos, selecciona los grupos que se asignarán a los usuarios. Para ver la lista de grupos, comienza a escribir en el campo Grupos. Aparecerán todos los nombres de grupos que incluyan ese texto.
- En el campo Roles, selecciona los roles que se asignarán a los usuarios.
- Haz clic en el botón Guardar para crear los usuarios y, si seleccionaste la casilla de verificación Enviar correos electrónicos de configuración, para enviar correos electrónicos de registro.
Crea una cuenta de servicio solo para la API
Puedes crear cuentas solo para la API (a menudo llamadas cuentas de servicio) en la página Usuarios de una instancia de Looker. A estas cuentas se les pueden otorgar el rol de administrador de Looker y las credenciales de la API de Looker. Sin embargo, estas cuentas no pueden acceder a Looker a través de la IU. Para agregar una cuenta de servicio, sigue estos pasos:
- Haz clic en el botón Agregar para que aparezca un menú desplegable.
- Haz clic en el elemento de menú Cuenta de servicio para abrir la página Agregar una cuenta de servicio nueva.
- En el campo Nombre de la cuenta de servicio, ingresa un nombre para la cuenta de servicio.
- El interruptor Crea un conjunto predeterminado de credenciales de API está habilitado de forma predeterminada. Si no quieres que se creen credenciales de API para la cuenta, haz clic en el interruptor para inhabilitar esta opción.
- Selecciona los grupos y los roles que se asignarán a la cuenta de servicio.
- Haz clic en el botón Guardar.
Puedes ver y editar las cuentas de servicio existentes en la pestaña Cuentas de servicio de la página Usuarios. Para editar una cuenta de servicio, haz clic en la fila de la cuenta de servicio para mostrar la página Editar usuario. En la página Edit User, puedes hacer lo siguiente:
- Habilita o inhabilita la cuenta de servicio
- Edita el nombre de la cuenta de servicio
- Administra las claves de API de la cuenta de servicio
- Asigna diferentes grupos y roles
- Edita los atributos del usuario asociados con la cuenta de servicio.
Migra cuentas de usuario a cuentas de servicio
En las instancias de Looker (original), ciertas cuentas de usuario estándar se pueden migrar a cuentas de servicio solo para la API. Para poder migrar, la cuenta de usuario estándar debe cumplir con todos los siguientes criterios:
- La cuenta no usa un proveedor de identidad, como Google, SAML o OpenID Connect, como método de autenticación en Looker.
- La cuenta no tiene una contraseña configurada para sus credenciales de correo electrónico.
- El usuario no accedió a la instancia de Looker en los últimos siete días o, si la cuenta se creó hace menos de siete días, el usuario no accedió desde que se creó la cuenta.
Looker marca a los usuarios estándar que cumplen con estos criterios en la columna Usuario de la pestaña Usuarios estándar en la página Usuarios. Además, en la parte superior de la página Usuarios, aparece un banner que indica que algunos usuarios estándar son cuentas de servicio potenciales.
Si una cuenta de usuario estándar cumple con los criterios de migración, se encuentran disponibles las siguientes dos opciones para migrar una cuenta estándar a una cuenta de servicio:
Aparece la opción Migrar en el menú de Opciones de tres puntos en la fila de la cuenta de usuario apta. Selecciona ese elemento de menú y se abrirá un diálogo Migrate user. Haz clic en Migrar para migrar al usuario. Haz clic en Cancelar para salir del diálogo sin migrar.
Haz clic en la fila de la cuenta de usuario apta para acceder a la página Editar usuario. En la parte inferior de la página Editar usuario, haz clic en el botón Migrar. En el cuadro de diálogo que aparece, haz clic en Aceptar para confirmar la migración o en Cancelar para salir del cuadro de diálogo sin migrar.
Si una cuenta de usuario no cumple con los criterios de migración, no se mostrarán las opciones de migración para ese usuario.
La migración de una cuenta de usuario a una cuenta de servicio no crea credenciales de API, pero las credenciales de API asociadas a la cuenta de usuario se migrarán a la cuenta de servicio.
Cómo editar usuarios
Para editar un usuario, haz clic en su fila. En la página Edit User, ajusta la siguiente configuración según sea necesario.
Cuenta
Habilitar o inhabilitar la cuenta de un usuario Considera inhabilitar la cuenta de usuario en lugar de borrarla. Este campo solo aparece para los usuarios estándar y las cuentas de servicio.
Nombre
Agrega o edita el nombre del usuario, si corresponde. Este campo no requiere un valor, pero puede ser útil para fines organizativos. Este campo solo aparece para los usuarios estándar y los usuarios integrados.
Apellido
Agrega o edita el apellido del usuario, si corresponde. Este campo no requiere un valor, pero puede ser útil para fines organizativos. Este campo solo aparece para los usuarios estándar y los usuarios integrados.
Nombre de la cuenta de servicio
Edita el nombre de la cuenta de servicio. Este campo solo aparece para las cuentas de servicio.
Correo electrónico
Agrega o edita la dirección de correo electrónico del usuario. Cuando el usuario accede a Looker, la dirección de correo electrónico funciona como su nombre de usuario. Este campo solo aparece para los usuarios estándar.
Configuración regional
El campo Configuración regional establece el idioma de la interfaz de usuario y la configuración regional del modelo para un usuario. Este campo solo aparece para los usuarios estándar.
Si quieres que el usuario vea cierto texto de la interfaz de usuario (IU) en un idioma específico, Looker admite las traducciones de la IU que se muestran en la siguiente tabla. Ingresa el código en el campo Configuración regional.
Si quieres que el usuario vea una versión localizada de uno o más modelos de datos, ingresa el título del archivo de cadenas del modelo para esa configuración regional en el campo Configuración regional.
Si quieres que el usuario vea tanto la localización del modelo como las traducciones integradas de la IU de Looker, el archivo de cadenas del modelo debe tener el mismo nombre que el código de configuración regional adecuado en la siguiente tabla, y ese código debe ingresarse en el campo Configuración regional.
Para confirmar el parámetro de configuración de Configuración regional, haz clic en Guardar en la parte inferior de la página.
| Idioma | Código de configuración regional y nombre de archivo de cadenas |
|---|---|
| Inglés | en |
| Checo | cs_CZ |
| Alemán | de_DE |
| Español (España) | es_ES |
| Finlandés | fi_FI |
| Francés (Canadá) | fr_CA |
| Francés (Francia) | fr_FR |
| Hindi | hi_IN |
| Italiano | it_IT |
| Japonés | ja_JP |
| Coreano | ko_KR |
| Lituano | lt_LT |
| Noruego (bokmål) | nb_NO |
| Holandés | nl_NL |
| Polaco | pl_PL |
| Portugués de Brasil | pt_BR |
| Portugués | pt_PT |
| Ruso | ru_RU |
| Sueco | sv_SE |
| Tailandés | th_TH |
| Turco | tr_TR |
| Ucraniano | uk_UA |
| Chino simplificado | zh_CN |
| Chino tradicional | zh_TW |
Para los usuarios que no tienen configurado ningún parámetro de configuración regional, Looker usa el parámetro de configuración regional elegido en la página Localización del panel Administrador como el parámetro de configuración regional predeterminado. Si no se configura ningún parámetro de configuración regional allí, Looker usa en de forma predeterminada.
Cómo configurar una configuración regional personalizada
Los desarrolladores de Looker pueden crear configuraciones regionales personalizadas para usarlas solo en la localización de modelos. Los códigos de configuración regional personalizados se designan con los títulos de los archivos de cadenas que se crean en el proceso de localización del modelo. Para aplicar esa configuración regional personalizada a los usuarios, sigue estos pasos:
Ingresa el código de configuración regional personalizado en el campo Configuración regional. Cuando comiences a escribir en el campo, desaparecerá todo el texto existente.
Haz clic en Create "your_custom_locale_code".
Haz clic en Guardar en la parte inferior de la página. El código se agregará al menú desplegable de configuración regional del usuario.
La IU de Looker no admite configuraciones regionales personalizadas. Si usas una configuración regional personalizada en el campo Configuración regional de un usuario, la IU de ese usuario se establecerá de forma predeterminada en el idioma que se configure en la configuración regional de la instancia.
Formato de número
El parámetro de configuración predeterminado del formato de número de Looker para los números que aparecen en las tablas de datos y las visualizaciones es 1,234.56. Sin embargo, el formato de número se puede establecer en cualquiera de los siguientes:
- 1,234.56: Los miles se separan con comas y los decimales con un punto.
- 1.234,56: Miles separados con puntos y decimales separados con una coma
- 1 234,56: Los miles se separan con espacios y los decimales, con una coma.
Para obtener más información y ejemplos sobre el uso del parámetro de configuración Formato de número, consulta la página de documentación Cómo localizar el formato de números.
Este campo solo aparece para los usuarios estándar.
Zona horaria
Si habilitaste la opción Zonas horarias específicas del usuario en tu instancia de Looker, puedes seleccionar la zona horaria que se usará cuando este usuario ejecute una consulta en Looker.
Enviar vínculo de configuración o restablecimiento
Si el usuario nunca accedió, este botón se etiqueta como Enviar vínculo de configuración. Si el usuario accedió anteriormente, este botón se etiqueta como Enviar vínculo de restablecimiento. Si necesitas establecer o restablecer una contraseña, puedes hacer clic en este botón para enviar un vínculo a la dirección de correo electrónico del usuario que especificaste anteriormente. Consulta la página de documentación Requisitos de contraseña para obtener información sobre cómo especificar los requisitos de complejidad de la contraseña en Looker. Si el usuario no restablece su contraseña en el plazo de una hora, el vínculo de restablecimiento vencerá.
Este campo solo aparece para los usuarios estándar.
Secret de dos factores
Esta opción aparece si habilitaste la autenticación de dos factores (2FA) en tu instancia. Haz clic en el botón Restablecer para restablecer la 2FA del usuario. Esto hace que Looker le solicite al usuario que vuelva a escanear un código QR con la app del Autenticador de Google la próxima vez que intente acceder a la instancia de Looker.
Este campo solo aparece para los usuarios estándar.
Claves de API
Se usa una clave de API para acceder a la API de Looker. Las claves de API se crean en Looker y constan de un ID de cliente y un secreto del cliente. Looker requiere una clave de API para ejecutar comandos con la API de Looker.
Este campo solo aparece para los usuarios estándar y las cuentas de servicio.
En una instancia de Looker (original), los administradores de Looker administran las claves de API de los usuarios.
Para generar claves de API, en la sección Claves de API de la página Administrador > Usuarios > Editar usuario, haz clic en el botón Editar claves. Se abrirá la página Editar claves de API del usuario, en la que se mostrarán las claves de API existentes. Haz clic en el botón Nueva clave de API para generar una clave nueva.
En una instancia de Looker (Google Cloud Core), los administradores de Looker habilitan a los usuarios individuales para que administren sus propias claves de API.
Para permitir que un usuario administre sus claves de API, en la sección Claves de API de la página Administrador > Usuarios > Editar usuario, usa el campo Claves de API para habilitar o inhabilitar la capacidad del usuario de crear, ver y borrar claves de API para su cuenta de usuario.
Una vez que habilites a un usuario para que administre sus claves de API, podrá hacerlo desde su página Cuenta. También puedes hacer clic en el botón Ver claves de API para abrir la página Claves de API del usuario, en la que puedes ver sus claves de API.
Los administradores de Looker administran las claves de API para las cuentas de servicio solo para la API.
Para generar claves de API para una cuenta de servicio solo de API, en la sección Claves de API de la página Administrador > Usuarios > Editar usuario, haz clic en el botón Administrar. Se abrirá la página Claves de API, en la que se mostrarán las claves de API existentes. Haz clic en el botón Create New API Key para generar una clave nueva.
Las claves de API tienen los mismos permisos que la cuenta de usuario o la cuenta de servicio desde la que se crearon.
La práctica recomendada es crear cuentas de servicio dedicadas para las secuencias de comandos de la API, una cuenta de servicio para cada secuencia de comandos. De esa manera, puedes configurar una cuenta de servicio con el conjunto específico de permisos que le permite al script realizar su función y solo su función. Por ejemplo, para una secuencia de comandos de la API que ejecuta consultas, puedes crear una cuenta de servicio con el permiso access_data, pero sin ningún otro permiso.
Las cuentas de servicio dedicadas para las secuencias de comandos de la API te permiten aumentar la seguridad compartimentando el acceso de una secuencia de comandos. Además, si alguna vez necesitas detener una secuencia de comandos, puedes inhabilitar (o borrar) la cuenta de servicio de esa secuencia de comandos. Antes de borrar cualquier cuenta de usuario, asegúrate de leer la sección Cómo quitar el acceso de un usuario en esta página.
Grupos
Enumera los grupos a los que pertenece el usuario. Para agregar al usuario a un grupo nuevo, selecciona el grupo en el menú desplegable o haz clic en X junto al nombre del grupo en la lista para quitar al usuario de un grupo.
También se pueden agregar usuarios a grupos en la página Grupos del panel Administrador.
Funciones
Enumera los roles asignados al usuario. Para agregar un rol nuevo al usuario, selecciónalo en el menú desplegable o, para quitar un rol, haz clic en X junto al nombre del rol en la lista.
También se pueden agregar roles en la página de administrador Roles.
Atributos de usuario
Establece y quita los valores de los atributos del usuario. Los valores que se asignan a un usuario individual siempre anulan los valores que se asignan como resultado de la membresía en un grupo. No se puede editar la configuración del sistema.
Quita el acceso al usuario
Para quitar el acceso de una cuenta de usuario o de servicio a Looker, puedes inhabilitar o borrar la cuenta. En la mayoría de los casos, la práctica recomendada es inhabilitar la cuenta.
En la siguiente tabla, se describen las diferencias entre inhabilitar y borrar una cuenta:
| Descripción | Inhabilitado | Borrado |
|---|---|---|
| El usuario puede acceder a la instancia de Looker. | No | No |
| La carpeta personal del usuario | Aún existe | Borrado |
| Vistas y paneles en la carpeta personal del usuario | Aún existen | Se movió a la carpeta Papelera |
| Los Looks y los paneles que el usuario guardó en una carpeta compartida | Aún existen en la carpeta Compartidos | Aún existen en la carpeta Compartidos |
| Programaciones creadas por el usuario | Los programas están inhabilitados | Se borran los programas |
| Programaciones basadas en el contenido del usuario, pero creadas por otro usuario | Los programas siguen ejecutándose | Se borra el contenido del usuario y las programaciones basadas en ese contenido. |
| Programaciones en las que el usuario aparece como destinatario y que creó otro usuario con la capacidad de enviar contenido a cuentas de correo electrónico externas | Las programaciones seguirán ejecutándose y publicándose con normalidad (el usuario se tratará como un usuario externo). | Las programaciones siguen ejecutándose y publicándose con normalidad (el usuario se tratará como un usuario externo). |
| Programaciones que tienen habilitada la opción Ejecutar programación como destinatario y que incluyen al usuario como destinatario | Los programas seguirán ejecutándose, pero no se entregarán al usuario inhabilitado en la próxima ejecución. | Los programas seguirán ejecutándose, pero no se publicarán para todos los usuarios y mostrarán el error run_as_recipient was specified on ScheduledPlan but recipient is not a Looker user. |
| Tableros creados por el usuario | Aún existen | Aún existen |
| Alertas creadas por el usuario | Permanecen activas, pero no se pueden ver ni editar desde el panel en el que se configuró la alerta, a menos que un administrador las asigne a sí mismo. Los administradores pueden editar o autoasignar la alerta desde la página de administración Alertas en el panel Administrador. | Las alertas se borran de inmediato de los paneles y de la página de administración de Alertas en el panel de Administrador. |
| Información de uso histórica del usuario | Se mantuvo | La mayoría se borran |
Cómo inhabilitar usuarios
Para evitar el acceso de una cuenta de usuario o de servicio a Looker, la práctica recomendada suele ser inhabilitar la cuenta. Cuando inhabilitas una cuenta, se conservan el historial de uso y el contenido personal de la cuenta. Para obtener detalles sobre las diferencias entre inhabilitar y borrar cuentas, consulta la tabla en la sección Cómo quitar el acceso de los usuarios de esta página.
Si usas una instancia de Looker (Google Cloud Core), inhabilitar a un usuario no afectará sus permisos de IAM. Quita los permisos de IAM de Looker para garantizar que un usuario no pueda acceder a la instancia.
Para inhabilitar una cuenta, puedes seleccionar Inhabilitar en el menú de tres puntos Opciones a la derecha de la fila del usuario.
Borra usuarios
En lugar de borrar un usuario, considera inhabilitar su cuenta. Esto impide que el usuario acceda, pero su información, contenido y historial permanecen intactos. Para obtener detalles sobre las diferencias entre inhabilitar y borrar usuarios, consulta la tabla en la sección Cómo quitar el acceso de los usuarios de esta página.
Si usas una instancia de Looker (Google Cloud Core), borrar un usuario no afectará sus permisos de IAM. Quita los permisos de IAM de Looker para garantizar que un usuario no pueda acceder a la instancia.
Para borrar una cuenta, puedes realizar una de las siguientes acciones:
- En el menú de Opciones de tres puntos que se encuentra a la derecha de la fila de la cuenta, selecciona Borrar.
- En la página Editar usuario de la cuenta, haz clic en el botón Borrar.
Borrar usuarios de una cuenta de Looker asociada a una suscripción a Looker Studio Pro reduce la cantidad de licencias sin costo adicional de Looker Studio Pro que se asignan a la cuenta. Si la cantidad de licencias Pro sin costo adicional que se asignan a tu cuenta es menor que la cantidad de licencias en uso, la diferencia se convertirá en licencias pagadas en un plazo de 24 horas, según los precios de Looker Studio Pro.
Suplantación de usuarios (sudo)
La suplantación te permite navegar por Looker como si fueras otro usuario, con todos sus privilegios y capacidades.
El uso de sudo también es una forma útil de validar que configuraste correctamente los permisos y otras funciones, o de ver el desarrollo de LookML de un usuario antes de que confirme y envíe los cambios.
Se requieren los permisos de see_users y sudo para usar sudo como otro usuario. Los administradores pueden usar sudo como cualquier otro usuario, incluidos otros administradores. Los usuarios que no son administradores solo pueden usar sudo como otros usuarios que no son administradores.
Para usar la identidad de un usuario, selecciona Usar la identidad de este usuario en el menú de tres puntos Opciones que se encuentra a la derecha de la fila del usuario:
Una barra en la parte superior de la pantalla te advierte que estás en un estado de sudo. Esto te permite salir del estado de sudo. Los cambios que realices en este estado afectarán al usuario al que emulas.
Si estás en el Modo de desarrollo, los demás usuarios no verán tus cambios hasta que los implementes en producción. Si no implementaste los cambios para que los vean otros usuarios, no los verás cuando uses sudo como otro usuario.
Suplantar la identidad de un usuario de incorporación firmada e interactuar con una instancia de Looker directamente y no a través de un iframe incorporado puede generar resultados inesperados. Además de las restricciones de sus permisos habituales, los usuarios integrados que accedieron a su cuenta están restringidos por el iframe integrado. Sin embargo, es posible que esas restricciones no estén presentes cuando alguien usa sudo como usuario integrado con acceso y realiza interacciones fuera de un iframe.
En el caso de las conexiones de bases de datos que usan OAuth, como Snowflake y Google BigQuery, un administrador que suplante a otro usuario usará el token de acceso de OAuth del usuario suplantado cuando ejecute consultas. En el caso de las conexiones de Snowflake, si el token de acceso del usuario caducó, el administrador no puede crear un token nuevo en nombre del usuario con sudo. El usuario debe acceder a Snowflake y volver a autorizar Looker.