「管理」面板「使用者」部分的「使用者」頁面,會列出 Looker 執行個體中的所有使用者帳戶。
查看及搜尋使用者
「使用者」頁面會顯示下列資訊:
分頁會依類型將使用者分組:
- 「標準使用者」分頁會顯示透過一般驗證程序或 Looker API 直接登入 Looker 的使用者。
- 「嵌入使用者」分頁會顯示透過第三方應用程式驗證的已簽署嵌入使用者。
- 如果是 Looker (Google Cloud Core) 執行個體,服務帳戶分頁會顯示透過 Looker API 使用 API 金鑰驗證的僅限 API 的服務帳戶。
- 「Looker 支援」分頁會顯示已獲授權存取 Looker 執行個體的 Looker 支援分析師。
「篩選清單」欄位會限制顯示的使用者。您可以依使用者 ID、名稱或電子郵件地址篩選。如要依使用者 ID 篩選,請輸入使用者 ID 來顯示該使用者。輸入名稱和電子郵件地址時,顯示的使用者清單會列出名稱或電子郵件地址包含您在篩選器欄位中輸入字串的所有使用者。「篩選器清單」取代了舊版「使用者」頁面的搜尋功能。
按一下「使用者」欄標題,即可依使用者名稱遞增或遞減排序表格。
每列都會列出使用者的名稱、ID 和電子郵件地址,並包含一個圖示,指出使用者擁有的存取權類型。將游標懸停在圖示上,即可查看圖示代表的意義。
按一下資料列即可編輯使用者。使用者圖示上的鎖頭表示使用者無法編輯。這類使用者可能是系統建立 (例如「所有使用者」群組的成員),也可能是透過 LDAP、SAML 或 OpenID Connect 通訊協定從外部管理。
「有效憑證」欄會列出使用者在 Looker 執行個體中擁有的存取權類型。
「群組」欄會列出使用者所屬的所有群組。
「角色」欄會列出指派給使用者的所有角色。
按一下「新增使用者」按鈕,建立新使用者。
按一下三點圖示「選項」選單,即可停用使用者、以該使用者身分執行 sudo,或刪除使用者。
使用者一經刪除即無法復原。請先考量貴機構的法規遵循和安全性需求,再決定是否要這麼做。
新增使用者
如要新增使用者,請按一下「新增使用者」按鈕。
在「新增使用者」頁面中,輸入或貼上以半形逗號分隔的電子郵件地址清單,然後選取要指派給每個地址的群組和角色。如要查看群組清單,請在「群組」欄位中輸入文字,系統會顯示所有包含該文字的群組名稱。按一下「儲存」按鈕,即可建立使用者,並在選取「傳送設定電子郵件」核取方塊後傳送註冊電子郵件。
編輯使用者
如要編輯使用者,請按一下使用者資料列。在「編輯使用者」頁面中,視需要調整下列設定。
帳戶
啟用或停用使用者帳戶。建議您停用使用者帳戶,而非刪除。
名字
視需要新增或編輯使用者的名字。這個欄位不一定要有值,但可用於整理資料。
姓氏
視需要新增或編輯使用者的姓氏。這個欄位不一定要有值,但可用於整理資料。
電子郵件
新增或編輯使用者的電子郵件地址。使用者登入 Looker 時,電子郵件地址就是他們的使用者名稱。
語言代碼
「語言代碼」欄位可為使用者設定使用者介面語言和模型語言代碼。
如要讓使用者以特定語言查看特定使用者介面 (UI) 文字,Looker 支援下表所示的 UI 翻譯。在「Locale」欄位中輸入代碼。
如要讓使用者查看一或多個資料模型的本地化版本,請在「地區設定」欄位中,輸入該地區設定的模型字串檔案標題。
如要讓使用者同時查看模型本地化和 Looker 內建的 UI 翻譯,模型的字串檔案名稱應與下表中的適當語言代碼相同,且該代碼應輸入至「語言代碼」欄位。
如要確認「地區設定」,請按一下頁面底部的「儲存」。
| 語言 | 語言代碼和字串檔案名稱 |
|---|---|
| 英文 | en |
| 捷克文 | cs_CZ |
| 德文 | de_DE |
| 西班牙文 (西班牙) | es_ES |
| 芬蘭文 | fi_FI |
| 法文 (加拿大) | fr_CA |
| 法文 (法國) | fr_FR |
| 北印度文 | hi_IN |
| 義大利文 | it_IT |
| 日文 | ja_JP |
| 韓文 | ko_KR |
| 立陶宛文 | lt_LT |
| 挪威文 (Bokmål) | nb_NO |
| 荷蘭文 | nl_NL |
| 波蘭文 | pl_PL |
| 巴西葡萄牙文 | pt_BR |
| 葡萄牙文 | pt_PT |
| 俄文 | ru_RU |
| 瑞典文 | sv_SE |
| 泰文 | th_TH |
| 土耳其文 | tr_TR |
| 烏克蘭文 | uk_UA |
| 簡體中文 | zh_CN |
| 繁體中文 | zh_TW |
如果使用者未設定「語言代碼」,Looker 會使用「管理」面板「本地化」頁面中選擇的語言代碼做為預設語言代碼;如果未在該處設定語言代碼,Looker 預設會使用 en。
設定自訂語言代碼
Looker 開發人員可以建立自訂語言代碼,僅用於模型本地化。自訂語言代碼是由模型本地化程序中建立的字串檔案名稱指定。如要將自訂語言代碼套用至使用者,請按照下列步驟操作:
在「Locale」欄位中輸入自訂語言代碼。開始在欄位中輸入文字時,系統會清除所有預先填入的文字。
按一下「建立『your_custom_locale_code』」。
按一下頁面底部的「儲存」。系統會將代碼新增至使用者的語言代碼下拉式選單。
Looker 使用者介面不支援自訂語言代碼。如果您在使用者「地區設定」欄位中使用自訂地區設定,使用者介面預設會採用執行個體地區設定中設定的語言。
數字格式
Looker 預設會以 1,234.56 格式顯示資料表和視覺化圖表中的數字。不過,數字格式可以設為下列任一格式:
- 1,234.56:千位數以半形逗號分隔,小數以半形句號分隔
- 1.234,56:千位數以半形句號分隔,小數以半形逗號分隔
- 1 234,56:以空格分隔千位數,以逗號分隔小數
如要進一步瞭解如何使用「數字格式」設定,請參閱「本地化數字格式」說明文件頁面。
時區
如果您已在 Looker 執行個體上啟用「使用者專屬時區」,可以選取使用者在 Looker 中執行查詢時要使用的時區。
傳送設定連結 / 傳送重設連結
如果使用者從未登入,這個按鈕會標示為「傳送設定連結」。如果使用者先前已登入,這個按鈕會標示為「傳送重設連結」。如要設定或重設密碼,請按一下這個按鈕,系統會將連結傳送至您先前指定的使用者電子郵件地址。如要瞭解如何在 Looker 中指定密碼複雜度要求,請參閱「密碼規定」說明文件頁面。如果使用者未在一小時內重設密碼,密碼重設連結就會失效。
雙重驗證密鑰
如果執行個體已啟用雙重驗證 (2FA),系統就會顯示這個選項。按一下「重設」按鈕,為使用者重設兩步驟驗證。這樣一來,使用者下次嘗試登入 Looker 執行個體時,系統就會提示他們使用 Google Authenticator 應用程式重新掃描 QR code。
API 金鑰
API 金鑰用於存取 Looker API。API 金鑰是在 Looker 中建立,由用戶端 ID 和用戶端密鑰組成。Looker 必須有 API 金鑰,才能透過 Looker API 執行指令。
在 Looker (原始版本) 執行個體中,Looker 管理員會管理使用者的 API 金鑰。
如要產生 API 金鑰,請前往「管理員」>「使用者」頁面的「API 金鑰」部分,然後點選「編輯金鑰」按鈕。「編輯使用者 API 金鑰」頁面隨即開啟,並顯示現有的 API 金鑰。按一下「New API key」(新增 API 金鑰) 按鈕,即可產生新金鑰。
在 Looker (Google Cloud Core) 執行個體中,Looker 管理員可讓個別使用者管理自己的 API 金鑰。
如要讓使用者管理自己的 API 金鑰,請前往「管理」>「使用者」頁面的「API 金鑰」部分,然後使用「API 金鑰」欄位啟用或停用使用者為自己帳戶建立、查看及刪除 API 金鑰的功能。
啟用使用者管理 API 金鑰的權限後,他們就能在帳戶頁面管理 API 金鑰。您也可以點選「查看 API 金鑰」按鈕,開啟使用者的「API 金鑰」頁面,查看他們的 API 金鑰。
在 Looker (Google Cloud Core) 執行個體中,Looker 管理員會管理僅限 API 服務帳戶的 API 金鑰。
如要為僅限 API 的服務帳戶產生 API 金鑰,請前往「管理」>「使用者」頁面的「API 金鑰」部分,然後點選「管理」按鈕。「API 金鑰」頁面隨即開啟,並顯示所有現有 API 金鑰。按一下「Create New API Key」(建立新的 API 金鑰) 按鈕,即可產生新的金鑰。
API 金鑰的權限與建立金鑰的使用者帳戶相同。
最佳做法是為 API 指令碼建立專屬使用者帳戶,每個指令碼對應一個使用者帳戶。這樣一來,您就能為使用者帳戶設定特定權限,讓指令碼執行「特定」功能。舉例來說,如果 API 指令碼會執行查詢,您可以建立具有 access_data 權限的使用者帳戶,但不得授予其他權限。
為 API 指令碼建立專屬使用者帳戶,可將指令碼的存取權劃分區隔,進一步提升安全性。此外,如需停止指令碼,可以停用 (或刪除) 該指令碼的使用者帳戶。刪除任何使用者帳戶前,請務必先閱讀本頁的「移除使用者存取權」一節。
群組
列出使用者所屬的群組。如要將使用者新增至新群組,請從下拉式選單中選取群組;如要從群組中移除使用者,請按一下清單中群組名稱旁的 X。
您也可以在「管理」面板的「群組」頁面中,將使用者新增至群組。
角色
列出指派給使用者的角色。如要為使用者新增角色,請從下拉式選單中選取角色;如要移除使用者的角色,請按一下清單中角色名稱旁的 X。
您也可以在「角色」管理頁面新增角色。
使用者屬性
設定及取消設定使用者屬性的值。指派給個別使用者的值一律會覆寫因群組成員資格而指派的值。系統設定無法編輯。
移除使用者存取權
如要移除使用者對 Looker 的存取權,可以停用或刪除他們的帳戶。在大多數情況下,最佳做法是停用帳戶。
下表說明停用和刪除使用者帳戶的差異:
| 說明 | 已停用 | 已刪除 |
|---|---|---|
| 使用者可以登入 Looker 執行個體 | 否 | 否 |
| 使用者的個人資料夾 | 仍存在 | 已刪除 |
| 使用者個人資料夾中的 Look 圖表和資訊主頁 | 仍存在 | 已移至「垃圾桶」資料夾 |
| 使用者儲存至共用資料夾的 Look 和資訊主頁 | 仍存在於「共用」資料夾中 | 仍存在於「共用」資料夾中 |
| 使用者建立的排程 | 已停用時間表 | 已刪除排程 |
| 根據使用者內容建立,但由其他使用者建立的排程 | 時間表會繼續執行 | 使用者的內容遭到刪除;根據該內容建立的排程遭到刪除 |
| 排程將使用者列為收件者,且是由其他有權將內容傳送至外部電子郵件帳戶的使用者建立 | 排程會繼續正常執行及放送 (使用者會視為外部使用者) | 排程會繼續正常執行及放送 (使用者會視為外部使用者) |
| 已啟用「以收件者的身分執行排程」,且使用者列為收件者的排程 | 排程會繼續執行,但下次執行時將無法傳送給已停用的使用者 | 排程會繼續執行,但無法傳送給所有使用者,並顯示錯誤 run_as_recipient was specified on ScheduledPlan but recipient is not a Looker user |
| 使用者建立的看板 | 仍存在 | 仍存在 |
| 使用者建立的快訊 | 保持有效,但無法透過設定警報的資訊主頁查看或編輯,除非管理員自行指派。管理員可以在「管理」面板的「快訊」管理員頁面中,編輯快訊或自行指派快訊。 | 系統會立即從資訊主頁和「管理」面板的「快訊」管理員頁面刪除快訊。 |
| 使用者的過往用量資訊 | 已保留 | 大多數都會遭到刪除 |
停用使用者
如要禁止使用者存取 Looker,最佳做法通常是停用使用者帳戶。停用使用者帳戶後,系統會保留使用者的使用記錄和個人內容。如要進一步瞭解停用和刪除使用者的差異,請參閱本頁「移除使用者存取權」一節中的表格。
如果您使用 Looker (Google Cloud Core) 執行個體,停用使用者不會影響該使用者的 IAM 權限。移除 Looker IAM 權限,確保使用者無法存取執行個體。
如要停用使用者帳戶,請在使用者資料列右側的三點「選項」選單中,選取「停用使用者」。
刪除使用者
建議您停用使用者帳戶,而非刪除帳戶。使用者將無法登入,但資訊、內容和記錄會完整保留。如要進一步瞭解停用和刪除使用者的差異,請參閱本頁「移除使用者存取權」一節中的表格。
如果您使用 Looker (Google Cloud Core) 執行個體,刪除使用者不會影響該使用者的 IAM 權限。移除 Looker IAM 權限,確保使用者無法存取執行個體。
如要刪除使用者帳戶,請在使用者資料列右側的三點「選項」選單中,選取「刪除使用者」。
模擬 (sudo) 使用者身分
透過模擬登入,您可以像其他使用者一樣瀏覽 Looker,並享有他們的所有權限和能力。
此外,您也可以透過 Sudo 驗證權限和其他功能是否已正確設定,或在使用者提交及推送變更前,查看他們的 LookML 開發內容。
如要以其他使用者身分執行 sudo,必須同時具備 see_users 和 sudo 權限。管理員可以透過 sudo 模擬任何其他使用者,包括其他管理員。非管理員使用者只能以其他非管理員使用者身分執行 sudo。
如要模擬使用者,請在使用者資料列右側的三點「選項」選單中,選取「模擬這位超級使用者」:
畫面頂端的橫條會警告您目前處於 sudo 狀態。即可退出 sudo 狀態。在此狀態下進行的任何變更,都會影響您模擬的使用者。
如果您處於開發模式,其他使用者將無法看到您的變更,直到您將變更部署至正式環境為止。如果您尚未部署變更,其他使用者就看不到變更內容,因此以其他使用者身分執行 sudo 時,您也看不到變更。
以已簽署的嵌入使用者身分執行 sudo,並直接與 Looker 執行個體互動 (而非透過嵌入的 iframe),可能會導致非預期的結果。除了受到一般權限的限制,已登入的嵌入使用者也會受到嵌入式 iframe 的限制。不過,如果使用者以已登入的嵌入使用者身分執行 sudo,並在 iframe 以外的位置互動,可能就不會受到這些限制。
對於使用 OAuth 的資料庫連線 (例如 Snowflake 和 Google BigQuery),以其他使用者身分執行 sudo 的管理員在執行查詢時,會使用 sudo 使用者的 OAuth 存取權杖。如果是 Snowflake 連線,如果使用者的存取權杖已過期,管理員無法代表 sudoed 使用者建立新權杖;使用者必須登入 Snowflake 並重新授權 Looker。