管理面板的用户部分中的用户页面会列出 Looker 实例中的所有用户账号。
查看和搜索用户
用户页面会显示以下信息:
标签页按用户类型对用户进行分组:
- 标准用户标签页会显示通过常规身份验证流程或 Looker API 直接登录 Looker 的用户。
- 嵌入用户标签页会显示通过第三方应用进行身份验证的已签名嵌入用户。
- 对于 Looker (Google Cloud Core)实例,服务账号标签页会显示通过 Looker API 使用 API 密钥进行身份验证的仅限 API 的服务账号。
- Looker 支持标签页会显示已获授权访问您的 Looker 实例的 Looker 支持分析师。
过滤列表字段用于限制显示哪些用户。您可以按用户 ID、名称或电子邮件地址进行过滤。如需按用户 ID 进行过滤,请输入用户 ID 以显示相应用户。对于名称和电子邮件地址,当您输入任何字符串时,显示的用户列表会显示名称或电子邮件地址包含在过滤字段中输入的字符串的所有用户。过滤列表取代了旧版用户页面上的搜索功能。
点击用户列标题可按升序或降序对表格中的用户名进行排序。
每行都会列出用户的姓名、ID 和电子邮件地址,并包含一个图标来指示用户拥有的访问权限类型。将光标悬停在图标上,即可查看该图标的含义。
点击相应行即可修改用户。无法修改的用户会以用户图标上的锁形图标表示。这些用户可以是系统创建的用户(例如“所有用户”群组的成员),也可以通过 LDAP、SAML 或 OpenID Connect 协议进行外部管理。
有效凭据列会列出用户对 Looker 实例拥有的访问权限类型。
群组列会列出用户所属的所有群组。
角色列会列出分配给用户的所有角色。
您可以点击添加用户按钮来创建新用户。
您可以点击三点状的选项菜单来停用用户、以用户身份执行 sudo 或删除用户。
删除用户是一项无法撤消的操作。在执行此操作之前,请考虑组织的合规性和安全性需求。
添加用户
如需添加用户,请点击添加用户按钮。
在添加新用户页面中,输入或粘贴以逗号分隔的电子邮件地址列表,然后选择将分配给每个用户的群组和角色。如需查看群组列表,请开始在群组字段中输入内容;系统会显示包含该文本的所有群组名称。点击保存按钮以创建用户,如果您已选中发送设置电子邮件复选框,系统还会发送注册电子邮件。
修改用户
如需修改用户,请点击相应用户所在的行。在修改用户页面上,根据需要调整以下设置。
账号
启用或停用用户账号。不妨考虑停用用户账号,而不是将其删除。
名字
添加或修改用户的名字(如果适用)。此字段不需要值,但可用于组织目的。
姓氏
添加或修改用户的姓氏(如适用)。此字段不需要值,但可用于组织目的。
电子邮件
添加或修改用户的电子邮件地址。当用户登录 Looker 时,电子邮件地址会作为其用户名。
语言区域
语言区域字段用于设置用户的界面语言和模型语言区域。
如果您希望用户以特定语言查看某些界面 (UI) 文本,Looker 支持下表中显示的界面翻译。在语言区域字段中输入相应代码。
如果您希望用户查看一个或多个数据模型的本地化版本,请在语言区域字段中输入相应语言区域的模型字符串文件的标题。
如果您希望用户查看模型本地化和 Looker 的内置界面翻译,则模型的字符串文件应与下表中的相应语言区域代码同名;并且该代码应输入到语言区域字段中。
如需确认语言区域设置,请点击页面底部的保存。
| 语言 | 语言区域代码和字符串文件名 |
|---|---|
| 英语 | en |
| 捷克语 | cs_CZ |
| 德语 | de_DE |
| 西班牙语(西班牙) | es_ES |
| 芬兰语 | fi_FI |
| 法语(加拿大) | fr_CA |
| 法语(法国) | fr_FR |
| 印地语 | hi_IN |
| 意大利语 | it_IT |
| 日语 | ja_JP |
| 韩语 | ko_KR |
| 立陶宛语 | lt_LT |
| 挪威语(博克马尔语) | nb_NO |
| 荷兰语 | nl_NL |
| 波兰语 | pl_PL |
| 葡萄牙语(巴西) | pt_BR |
| 葡萄牙语 | pt_PT |
| 俄语 | ru_RU |
| 瑞典语 | sv_SE |
| 泰语 | th_TH |
| 土耳其语 | tr_TR |
| 乌克兰语 | uk_UA |
| 简体中文 | zh_CN |
| 繁体中文 | zh_TW |
对于未设置语言区域的用户,Looker 会使用管理面板的本地化页面上选择的语言区域作为默认语言区域;如果未在该页面上设置语言区域,Looker 会默认使用 en。
设置自定义语言区域
Looker 开发者可以创建自定义语言区域,仅用于模型本地化。自定义语言区域代码由在模型本地化过程中创建的字符串文件的标题指定。如需将该自定义语言区域应用于用户,请执行以下步骤:
在 Locale(语言区域)字段中输入自定义语言区域代码。当您开始在该字段中输入内容时,所有预先存在的文本都会消失。
点击创建“your_custom_locale_code”。
点击页面底部的保存。该代码将添加到用户的语言区域下拉菜单中。
Looker 界面不支持自定义语言区域。如果您在用户的 Locale 字段中使用自定义语言区域,相应用户的界面会默认使用在实例语言区域中设置的语言。
数字格式
Looker 为数据表和可视化图表中显示的数字设置的默认数字格式为 1,234.56。不过,您可以将数字格式设置为以下任一格式:
- 1,234.56:千位分隔符为英文逗号,小数分隔符为英文句点
- 1.234,56:千位分隔符为英文句点,小数分隔符为英文逗号
- 1 234,56:千位分隔符为空格;小数分隔符为英文逗号
如需详细了解如何使用数字格式设置,请参阅本地化数字格式文档页面。
时区
如果您已在 Looker 实例中启用用户自选时区,则可以选择相应时区,以便在相应用户在 Looker 中运行查询时使用。
发送设置链接 / 发送重置链接
如果用户从未登录过,此按钮会显示为发送设置链接。如果用户之前已登录,此按钮会显示为发送重置链接。如果您需要设置或重置密码,可以点击此按钮,系统会将链接发送到您之前指定的用户电子邮件地址。如需了解如何在 Looker 中指定密码复杂度要求,请参阅密码要求文档页面。如果用户未在一小时内重置密码,密码重置链接将失效。
双重验证 Secret
如果您已在实例中启用双重身份验证 (2FA),系统会显示此选项。点击重置按钮以重置该用户的双重身份验证。这会导致 Looker 在用户下次尝试登录 Looker 实例时,提示用户使用 Google 身份验证器应用重新扫描二维码。
API 密钥
API 密钥用于访问 Looker API。API 密钥在 Looker 中创建,包含客户端 ID 和客户端密钥。Looker 需要 API 密钥才能通过 Looker API 执行命令。
在 Looker (original) 实例中,Looker 管理员负责管理用户的 API 密钥。
如需生成 API 密钥,请在管理 > 用户页面的 API 密钥部分中,点击修改密钥按钮。系统会打开修改用户 API 密钥页面,其中显示了现有的 API 密钥。点击新 API 密钥按钮,生成新密钥。
在 Looker (Google Cloud Core) 实例中,Looker 管理员可以允许各个用户管理自己的 API 密钥。
如需允许用户管理其 API 密钥,请在管理 > 用户页面的 API 密钥部分中,使用 API 密钥字段来启用或停用用户为其用户账号创建、查看和删除 API 密钥的功能。
在您允许用户管理其 API 密钥后,他们便可以从自己的账号页面执行此操作。您还可以点击查看 API 密钥按钮,打开用户的 API 密钥页面,您可以在该页面中查看用户的 API 密钥。
在 Looker (Google Cloud Core) 实例中,Looker 管理员可以管理仅限 API 的服务账号的 API 密钥。
如需为仅限 API 的服务账号生成 API 密钥,请在管理 > 用户页面的 API 密钥部分中,点击管理按钮。系统会打开 API 密钥页面,并显示所有现有的 API 密钥。点击创建新的 API 密钥按钮,生成新的密钥。
API 密钥具有与创建它们的用户账号相同的权限。
最佳实践是为 API 脚本创建专用用户账号,每个脚本对应一个用户账号。这样一来,您就可以为用户账号配置一组特定的权限,使脚本能够执行其功能,并且仅执行其功能。例如,对于运行查询的 API 脚本,您可以创建一个具有 access_data 权限但没有其他权限的用户账号。
为 API 脚本使用专用用户账号,可将脚本的访问权限进行隔离,从而提高安全性。此外,如果您需要停止某个脚本,可以停用(或删除)该脚本的用户账号。在删除任何用户账号之前,请务必先阅读本页上的移除用户访问权限部分。
群组
列出用户所属的群组。您可以从下拉菜单中选择群组,将用户添加到新群组;也可以点击列表中的群组名称旁边的 X,将用户从群组中移除。
您还可以在管理面板的群组页面中将用户添加到群组。
角色
列出分配给用户的角色。您可以从下拉菜单中选择角色,为用户添加新角色;也可以点击列表中角色名称旁边的 X,从用户中移除角色。
您也可以在“角色”管理页面中添加角色。
用户属性
设置和取消设置用户的用户属性的值。分配给单个用户的值始终会覆盖因群组成员身份而分配的任何值。系统设置无法修改。
移除用户访问权限
如需移除用户对 Looker 的访问权限,您可以停用或删除其账号。在大多数情况下,最佳做法是停用账号。
下表介绍了停用和删除用户账号之间的区别:
| 说明 | 已停用 | 已删除 |
|---|---|---|
| 用户可以登录 Looker 实例 | 否 | 否 |
| 用户的个人文件夹 | 仍存在 | 已删除 |
| 用户个人文件夹中的 Look 和信息中心 | 仍然存在 | 已移至回收站文件夹 |
| 用户保存到“共享”文件夹中的 Look 和信息中心 | 仍存在于“共享”文件夹中 | 仍存在于“共享”文件夹中 |
| 用户创建的时间表 | 时间表已停用 | 已删除时间表 |
| 基于用户内容但由其他用户创建的时间表 | 时间表继续运行 | 用户的内容被删除;基于相应内容的日程被删除 |
| 将用户列为收件人且由有权向外部电子邮件账号传送内容的其他用户创建的时间表 | 系统会继续正常运行和投放广告(用户将被视为外部用户) | 时间表继续正常运行和投放(系统会将用户视为外部用户) |
| 已启用以收件人身份运行时间表并将用户列为收件人的时间表 | 日程会继续运行,但在下次运行时无法向已停用的用户交付 | 时间表会继续运行,但无法向所有用户传送,并显示错误 run_as_recipient was specified on ScheduledPlan but recipient is not a Looker user |
| 用户创建的看板 | 仍然存在 | 仍然存在 |
| 用户创建的提醒 | 保持有效状态,但除非由管理员自行分配,否则无法在设置提醒的信息中心内查看或修改。管理员可以在管理面板的提醒管理管理员页面中修改提醒或自行分配提醒。 | 系统会立即从信息中心和管理面板中的提醒管理管理页面中删除提醒。 |
| 用户的历史使用情况信息 | 保留 | 大多数都被删除 |
停用用户
为防止用户访问 Looker,通常的最佳实践是停用用户账号。停用用户账号后,系统会保留该用户的使用记录和个人内容。如需详细了解停用和删除用户之间的区别,请参阅本页面上移除用户访问权限部分中的表格。
如果您使用的是 Looker (Google Cloud Core) 实例,停用用户不会影响该用户的 IAM 权限。移除 Looker IAM 权限,确保用户无法访问实例。
如需停用用户账号,请从用户所在行右侧的三点状选项菜单中选择停用用户。
删除用户
您可以考虑停用用户账号,而不是删除用户。这样一来,用户将无法登录,但其信息、内容和历史记录会保持不变。如需详细了解停用和删除用户之间的区别,请参阅本页面上移除用户访问权限部分中的表格。
如果您使用的是 Looker (Google Cloud Core) 实例,删除用户不会影响该用户的 IAM 权限。移除 Looker IAM 权限,确保用户无法访问实例。
如需删除用户账号,请从用户所在行右侧的三点状选项菜单中选择删除用户。
模拟(使用 sudo)用户
通过模拟用户,您可以像其他用户一样浏览 Looker,并拥有他们的所有权限和能力。
通过 sudo,您还可以验证是否已正确配置权限和其他功能,或者查看用户在提交和推送更改之前的 LookML 开发情况。
若要以其他用户身份执行 sudo 命令,需要同时拥有 see_users 和 sudo 权限。管理员可以像任何其他用户(包括其他管理员)一样使用 sudo。非管理员用户只能以其他非管理员用户的身份执行 sudo 命令。
如需以用户身份登录,请从用户所在行右侧的三点状选项菜单中选择以该用户身份登录:
屏幕顶部会显示一个栏,警告您正处于 sudo 状态。这样,您就可以退出 sudo 状态。在此状态下所做的任何更改都会影响您正在模拟的用户。
如果您处于开发模式,则在您将更改部署到生产环境之前,其他用户无法看到您的更改。如果您尚未部署更改以供其他用户查看,那么当您以其他用户身份执行 sudo 命令时,将不会看到您所做的更改。
以已签名的嵌入用户身份执行 sudo 命令并直接与 Looker 实例(而非通过嵌入式 iframe)互动可能会导致意外结果。除了常规权限带来的限制之外,已签名的嵌入用户还会受到嵌入式 iframe 的限制。不过,当有人以已签名的嵌入用户的身份执行 sudo 命令并在 iframe 之外进行互动时,这些限制可能不会存在。
对于使用 OAuth 的数据库连接(例如 Snowflake 和 Google BigQuery),以其他用户身份执行 sudo 命令的管理员在运行查询时将使用 sudo 用户的 OAuth 访问令牌。对于 Snowflake 连接,如果用户的访问令牌已过期,管理员无法代表 sudo 用户创建新令牌;用户必须登录 Snowflake 并重新授权 Looker。