「管理」面板的「使用者」部分會顯示「使用者」頁面,列出 Looker 執行個體的所有使用者帳戶。
查看及搜尋使用者
「使用者」頁面會顯示下列資訊:
分頁會依類型將使用者分組:
- 「標準使用者」分頁會顯示直接登入 Looker 的使用者,包括透過一般驗證程序或 Looker API 登入的使用者。
- 「嵌入使用者」分頁會顯示透過第三方應用程式驗證的已簽署嵌入使用者。
- 「服務帳戶」分頁會顯示透過 API 金鑰使用 Looker API 驗證的僅限 API 的服務帳戶。
- 「Looker 支援」分頁會顯示已獲授權存取 Looker 執行個體的 Looker 支援分析師。
「篩選清單」欄位會限制顯示的使用者。您可以依使用者 ID、名稱或電子郵件地址篩選。如要依使用者 ID 篩選,請輸入使用者 ID 來顯示該使用者。輸入名稱和電子郵件地址時,系統會顯示名稱或電子郵件地址包含您在篩選欄位中輸入字串的所有使用者。「篩選器清單」取代了舊版「使用者」頁面的搜尋功能。
按一下「使用者」欄標題,即可依使用者名稱遞增或遞減排序表格。
每列都會列出使用者的名稱、ID 和電子郵件地址,並包含圖示,指出使用者擁有的存取權類型。將游標懸停在圖示上,即可查看圖示代表的意義。
按一下要編輯的使用者所在的列。使用者圖示上的鎖頭表示使用者無法編輯。這些使用者是由系統建立 (例如「所有使用者」群組的成員),或是由 LDAP、SAML 或 OpenID Connect 通訊協定從外部管理。
「有效憑證」欄會列出使用者在 Looker 執行個體中擁有的存取權類型。這個欄位只會顯示在「標準使用者」分頁中。
「群組」欄會列出使用者所屬的所有群組。
「角色」欄會列出指派給使用者的所有角色。
按一下三點圖示「選項」選單,即可停用使用者、以使用者身分執行 sudo、刪除使用者,或將使用者帳戶遷移至服務帳戶。
新增標準使用者
如要新增標準使用者,請完成下列步驟:
- 按一下「新增」按鈕,開啟下拉式選單。
- 按一下「使用者」選單項目,開啟「新增使用者」頁面。
- 在「新增使用者」頁面的「電子郵件地址」欄位中,輸入或貼上以半形逗號分隔的電子郵件地址清單。
- 在「群組」欄位中,選取要指派給使用者的群組。如要查看群組清單,請在「群組」欄位中輸入文字,系統會顯示所有包含該文字的群組名稱。
- 在「角色」欄位中,選取要指派給使用者的角色。
- 按一下「儲存」按鈕,即可建立使用者,並在選取「傳送設定電子郵件」核取方塊後,傳送註冊電子郵件。
建立僅限 API 的服務帳戶
您可以在 Looker 執行個體的「使用者」頁面中,建立僅限 API 的帳戶 (通常稱為服務帳戶)。這些帳戶可以獲得管理員 Looker 角色和 Looker API 憑證。不過,這些帳戶無法透過使用者介面登入 Looker。如要新增服務帳戶,請按照下列步驟操作:
- 按一下「新增」按鈕,開啟下拉式選單。
- 按一下「服務帳戶」選單項目,開啟「新增服務帳戶」頁面。
- 在「服務帳戶名稱」欄位中,輸入服務帳戶的名稱。
- 「建立預設 API 憑證組合」切換按鈕預設為啟用。如不希望為帳戶建立 API 憑證,請按一下切換鈕停用這個選項。
- 選取要指派給服務帳戶的「群組」和「角色」。
- 按一下 [Save] 按鈕。
您可以在「使用者」頁面的「服務帳戶」分頁中,查看及編輯現有服務帳戶。如要編輯服務帳戶,請按一下服務帳戶列,顯示「編輯使用者」頁面。您可以在「編輯使用者」頁面執行下列操作:
將使用者帳戶遷移至服務帳戶
在 Looker (舊版) 執行個體中,某些標準使用者帳戶可以遷移至僅限 API 的服務帳戶。如要遷移,標準使用者帳戶必須符合下列所有條件:
- 該帳戶並未使用身分識別提供者 (例如 Google、SAML 或 OpenID Connect) 做為 Looker 的驗證方法。
- 帳戶未為電子郵件憑證設定密碼。
- 使用者在過去七天內未登入 Looker 執行個體,或帳戶是在七天內建立,且使用者從未登入。
在「使用者」頁面的「標準使用者」分頁中,如果標準使用者符合這些條件,Looker 會在「使用者」欄中標示。此外,「使用者」頁面頂端會顯示橫幅,指出部分標準使用者可能是服務帳戶。
如果標準使用者帳戶符合遷移條件,您可以透過下列兩種方式,將標準帳戶遷移至服務帳戶:
符合資格的使用者帳戶列中,三點圖示的「選項」選單會顯示「遷移」選項。選取該選單項目後,系統會開啟「遷移使用者」對話方塊。按一下「遷移」即可遷移使用者。按一下「取消」即可結束對話方塊,而不進行遷移。
按一下符合資格的使用者帳戶所在列,前往「編輯使用者」頁面。在「編輯使用者」頁面底部,按一下「遷移」按鈕。在隨即顯示的對話方塊中,按一下「確定」確認要遷移,或按一下「取消」退出對話方塊而不遷移。
如果使用者帳戶不符合遷移條件,系統就不會向該使用者顯示遷移選項。
將使用者帳戶遷移至服務帳戶時,系統不會建立 API 憑證,但與使用者帳戶相關聯的 API 憑證會遷移至服務帳戶。
編輯使用者
如要編輯使用者,請按一下使用者資料列。在「編輯使用者」頁面中,視需要調整下列設定。
帳戶
啟用或停用使用者的帳戶。建議您停用使用者帳戶,而非刪除。這個欄位只會顯示給標準使用者和服務帳戶。
名字
視需要新增或編輯使用者的名字。這個欄位不一定要填寫值,但可用於組織用途。這個欄位只會顯示給標準使用者和嵌入使用者。
姓氏
視需要新增或編輯使用者的姓氏。這個欄位不一定要填寫值,但可用於組織用途。這個欄位只會顯示給標準使用者和嵌入使用者。
服務帳戶名稱
編輯服務帳戶名稱。這個欄位只會顯示服務帳戶。
電子郵件
新增或編輯使用者的電子郵件地址。使用者登入 Looker 時,電子郵件地址就是使用者名稱。這個欄位只會顯示給標準使用者。
語言代碼
「語言代碼」欄位會為使用者設定使用者介面語言和模型語言代碼。這個欄位只會顯示給標準使用者。
如要讓使用者以特定語言查看特定使用者介面 (UI) 文字,Looker 支援下表所示的 UI 翻譯。在「地區設定」欄位中輸入代碼。
如要讓使用者查看一或多個資料模型的本地化版本,請在「地區設定」欄位中,輸入該地區設定的模型字串檔案標題。
如要讓使用者同時查看模型本地化和 Looker 內建的 UI 翻譯,模型的字串檔案名稱應與下表中的適當語言代碼相同,且該代碼應輸入「語言代碼」欄位。
如要確認「地區設定」,請按一下頁面底部的「儲存」。
| 語言 | 語言代碼和字串檔案名稱 |
|---|---|
| 英文 | en |
| 捷克文 | cs_CZ |
| 德文 | de_DE |
| 西班牙文 (西班牙) | es_ES |
| 芬蘭文 | fi_FI |
| 法文 (加拿大) | fr_CA |
| 法文 (法國) | fr_FR |
| 北印度文 | hi_IN |
| 義大利文 | it_IT |
| 日文 | ja_JP |
| 韓文 | ko_KR |
| 立陶宛文 | lt_LT |
| 挪威文 (巴克摩) | nb_NO |
| 荷蘭文 | nl_NL |
| 波蘭文 | pl_PL |
| 巴西葡萄牙文 | pt_BR |
| 葡萄牙文 | pt_PT |
| 俄文 | ru_RU |
| 瑞典文 | sv_SE |
| 泰文 | th_TH |
| 土耳其文 | tr_TR |
| 烏克蘭文 | uk_UA |
| 簡體中文 | zh_CN |
| 繁體中文 | zh_TW |
如果使用者未設定「語言代碼」,Looker 會使用「管理」面板「本地化」頁面中選擇的語言代碼做為預設語言代碼;如果未在該處設定語言代碼,Looker 預設會使用 en。
設定自訂語言代碼
Looker 開發人員可以建立自訂語言代碼,僅用於模型本地化。自訂語言代碼是由模型本地化程序中建立的字串檔案名稱指定。如要將自訂語言代碼套用至使用者,請按照下列步驟操作:
在「Locale」欄位中輸入自訂語言代碼。開始在欄位中輸入文字時,系統會清除所有現有文字。
按一下「建立『your_custom_locale_code』」。
按一下頁面底部的「儲存」。系統會將代碼新增至使用者的語言代碼下拉式選單。
Looker 使用者介面不支援自訂語言代碼。如果您在使用者「地區設定」欄位中使用自訂地區設定,使用者介面預設會採用執行個體地區設定中設定的語言。
數字格式
Looker 預設會以 1,234.56 格式顯示資料表和視覺化圖表中的數字。不過,數字格式可以設為下列任一格式:
- 1,234.56:千位數以半形逗號分隔,小數以半形句號分隔
- 1.234,56:千位數以半形句號分隔,小數以半形逗號分隔
- 1 234,56:以空格分隔千位數,以半形逗號分隔小數
如要進一步瞭解如何使用「數字格式」設定,請參閱「本地化數字格式」說明文件頁面。
這個欄位只會顯示給標準使用者。
時區
如果您在 Looker 執行個體上啟用「使用者專屬時區」,可以選取使用者在 Looker 中執行查詢時要使用的時區。
傳送設定連結 / 傳送重設連結
如果使用者從未登入,這個按鈕會標示為「傳送設定連結」。如果使用者先前已登入,這個按鈕會標示為「傳送重設連結」。如要設定或重設密碼,請按一下這個按鈕,將連結傳送至先前指定的使用者電子郵件地址。如要瞭解如何在 Looker 中指定密碼複雜度要求,請參閱「密碼規定」說明文件頁面。如果使用者未在一小時內重設密碼,密碼重設連結就會失效。
這個欄位只會顯示給標準使用者。
雙重驗證密鑰
如果已在執行個體上啟用雙重驗證 (2FA),系統就會顯示這個選項。按一下「重設」按鈕,即可為使用者重設兩步驟驗證。這樣一來,使用者下次嘗試登入 Looker 執行個體時,系統就會提示他們使用 Google Authenticator 應用程式重新掃描 QR code。
這個欄位只會顯示給標準使用者。
API 金鑰
API 金鑰用於存取 Looker API。API 金鑰是在 Looker 中建立,由用戶端 ID 和用戶端密鑰組成。Looker 必須有 API 金鑰,才能透過 Looker API 執行指令。
這個欄位只會顯示給標準使用者和服務帳戶。
在 Looker (原始版本) 執行個體中,Looker 管理員會管理使用者的 API 金鑰。
如要產生 API 金鑰,請依序點選「管理」>「使用者」>「編輯使用者」頁面中的「API 金鑰」部分,然後按一下「編輯金鑰」按鈕。「編輯使用者 API 金鑰」頁面隨即開啟,並顯示現有的 API 金鑰。按一下「New API key」(新的 API 金鑰) 按鈕,產生新的金鑰。
在 Looker (Google Cloud Core) 執行個體中,Looker 管理員可讓個別使用者管理自己的 API 金鑰。
如要允許使用者管理自己的 API 金鑰,請前往「管理」>「使用者」>「編輯使用者」頁面的「API 金鑰」部分,然後使用「API 金鑰」欄位,啟用或停用使用者為自己帳戶建立、查看及刪除 API 金鑰的功能。
啟用使用者管理 API 金鑰的權限後,他們就能在帳戶頁面管理 API 金鑰。您也可以點選「查看 API 金鑰」按鈕,開啟使用者的「API 金鑰」頁面,查看他們的 API 金鑰。
Looker 管理員負責管理僅限 API 服務帳戶的 API 金鑰。
如要為僅限 API 的服務帳戶產生 API 金鑰,請前往「管理」>「使用者」>「編輯使用者」頁面的「API 金鑰」部分,然後點選「管理」按鈕。「API 金鑰」頁面隨即開啟,並顯示所有現有 API 金鑰。按一下「Create New API Key」(建立新的 API 金鑰) 按鈕,產生新的金鑰。
API 金鑰與建立金鑰的使用者帳戶或服務帳戶具有相同的權限。
最佳做法是為 API 指令碼建立專用服務帳戶,每個指令碼各有一個服務帳戶。這樣一來,您就能設定服務帳戶,並授予特定權限,讓指令碼只能執行其功能。舉例來說,如果 API 指令碼會執行查詢,您可以建立具有 access_data 權限的服務帳戶,但不得有其他權限。
API 指令碼專用的服務帳戶可劃分指令碼的存取權,進而提升安全性。此外,如需停止指令碼,可以停用 (或刪除) 該指令碼的服務帳戶。刪除使用者帳戶前,請務必先閱讀本頁的「移除使用者存取權」一節。
群組
列出使用者所屬的群組。如要將使用者新增至新群組,請從下拉式選單中選取群組;如要從群組中移除使用者,請按一下清單中群組名稱旁的 X。
您也可以在「管理」面板的「群組」頁面中,將使用者新增至群組。
角色
列出指派給使用者的角色。如要為使用者新增角色,請從下拉式選單中選取角色;如要移除使用者的角色,請按一下清單中角色名稱旁的 X。
使用者屬性
設定及取消設定使用者屬性的值。指派給個別使用者的值一律會覆寫因群組成員資格而指派的值。系統設定無法編輯。
移除使用者存取權
如要移除使用者帳戶或服務帳戶的 Looker 存取權,可以停用或刪除帳戶。在大多數情況下,最佳做法是停用帳戶。
下表說明停用和刪除帳戶的差異:
| 說明 | 已停用 | 已刪除 |
|---|---|---|
| 使用者可以登入 Looker 執行個體 | 否 | 否 |
| 使用者的個人資料夾 | 仍存在 | 已刪除 |
| 使用者個人資料夾中的 Look 圖表和資訊主頁 | 仍存在 | 已移至「垃圾桶」資料夾 |
| 使用者儲存至共用資料夾的 Look 和資訊主頁 | 仍存在於「共用」資料夾中 | 仍存在於「共用」資料夾中 |
| 使用者建立的排程 | 已停用時間表 | 已刪除排程 |
| 根據使用者內容建立,但由其他使用者建立的排程 | 時間表會繼續執行 | 使用者的內容遭到刪除;根據該內容建立的排程遭到刪除 |
| 排程將使用者列為收件者,且是由其他使用者建立,而該使用者有權將內容傳送至外部電子郵件帳戶 | 排程會繼續正常執行及放送 (使用者會視為外部使用者) | 排程會繼續正常執行及放送 (系統會將使用者視為外部使用者) |
| 已啟用「以收件者的身分執行排程」,且使用者列為收件者的排程 | 排程會繼續執行,但下次執行時,將無法傳送給已停用的使用者 | 排程會繼續執行,但無法傳送給所有使用者,並顯示錯誤 run_as_recipient was specified on ScheduledPlan but recipient is not a Looker user |
| 使用者建立的看板 | 仍存在 | 仍存在 |
| 使用者建立的快訊 | 保持有效,但無法透過設定警報的資訊主頁查看或編輯,除非管理員自行指派。管理員可以在「管理」面板的「快訊」管理員頁面中,編輯快訊或自行指派快訊。 | 系統會立即從資訊主頁和「管理」面板的「快訊」管理員頁面刪除快訊。 |
| 使用者的歷史用量資訊 | 已保留 | 大多數都會遭到刪除 |
停用使用者
如要防止使用者帳戶或服務帳戶存取 Looker,最佳做法通常是停用帳戶。停用帳戶後,系統會保留帳戶的使用記錄和個人內容。如要進一步瞭解停用和刪除帳戶的差異,請參閱本頁面「移除使用者存取權」一節中的表格。
如果您使用 Looker (Google Cloud Core) 執行個體,停用使用者不會影響該使用者的 IAM 權限。移除 Looker IAM 權限,確保使用者無法存取執行個體。
如要停用帳戶,請在使用者資料列右側的三點「選項」選單中選取「停用」。
刪除使用者
建議您停用使用者帳戶,而非刪除帳戶。使用者將無法登入帳戶,但資訊、內容和記錄會保留不變。如要進一步瞭解停用和刪除使用者的差異,請參閱本頁「移除使用者存取權」一節中的表格。
如果您使用 Looker (Google Cloud Core) 執行個體,刪除使用者不會影響該使用者的 IAM 權限。移除 Looker IAM 權限,確保使用者無法存取執行個體。
如要刪除帳戶,請執行下列任一動作:
- 在帳戶列右側的三點「選項」選單中,選取「刪除」。
- 在帳戶的「編輯使用者」頁面中,按一下「刪除」按鈕。
從與 Looker Studio Pro 訂閱方案相關聯的 Looker 帳戶中刪除使用者,會減少分配給該帳戶的免費 Looker Studio Pro 授權數量。如果帳戶隨附的 Pro 授權數量少於使用中的授權數量,系統會在 24 小時內將差額轉換為付費授權,並依據 Looker Studio Pro 定價收費。
模擬 (sudo) 使用者身分
透過模擬登入,您可以像其他使用者一樣瀏覽 Looker,並享有他們的所有權限和功能。
此外,您也可以透過 Sudo 驗證權限和其他功能是否已正確設定,或在使用者提交及推送變更前,查看他們的 LookML 開發內容。
如要以其他使用者身分執行 sudo,必須同時具備 see_users 和 sudo 權限。管理員可以透過 sudo 模擬任何其他使用者,包括其他管理員。非管理員使用者只能以其他非管理員使用者的身分執行 sudo。
如要模擬使用者,請在使用者資料列右側的三點「選項」選單中,選取「模擬這位超級使用者」:
畫面頂端的橫條會顯示警告訊息,指出您目前處於 sudo 狀態。即可退出 sudo 狀態。在此狀態下進行的任何變更,都會影響您模擬的使用者。
如果您處於開發模式,必須將變更部署至正式環境,其他使用者才會看到變更。如果您尚未部署變更,其他使用者就無法看到,因此以其他使用者身分執行 sudo 時,您也看不到變更。
以已簽署的嵌入使用者身分執行 sudo,並直接與 Looker 執行個體互動 (而非透過嵌入的 iframe),可能會導致非預期的結果。除了受到一般權限的限制,已登入的嵌入使用者也會受到嵌入式 iframe 的限制。不過,如果有人以已登入的嵌入使用者身分執行 sudo,並在 iframe 外部互動,可能就不會受到這些限制。
對於使用 OAuth 的資料庫連線 (例如 Snowflake 和 Google BigQuery),以其他使用者身分執行 sudo 的管理員在執行查詢時,會使用 sudo 使用者的 OAuth 存取權杖。如果是 Snowflake 連線,如果使用者的存取權杖已過期,管理員就無法代表 sudoed 使用者建立新權杖;使用者必須登入 Snowflake 並重新授權 Looker。