ניהול משתמשים ב-Looker (Google Cloud Core)‎

במופע של Looker (Google Cloud core) יש כמה הגדרות לניהול משתמשים.

ההרשאה הנדרשת

כדי לנהל משתמשים במכונה של Looker (Google Cloud core), צריך להיות לכם תפקיד אדמין ב-Looker.

הדף 'משתמשים'

בדף Admin > Users ב-Looker מוצגים משתמשים פעילים ב-Looker (Google Cloud core), ואפשר לבצע עריכות מסוימות בחשבונות שלהם ב-Looker, כמו עריכה של הגדרות החשבון הבאות:

צריך לערוך את השמות וכתובות האימייל של המשתמשים בספק הזהויות שמשמש לאימות.

בניגוד למכונות (original) של Looker, האפשרויות הבאות לא זמינות בדף Users ב-Looker ‏ (שירות הליבה של Google Cloud):

הוספת משתמשים למופע של Looker (Google Cloud Core)‎

כדי להוסיף משתמשים בודדים ב-Looker (Google Cloud core), צריך לפעול לפי ההליך של שיטת האימות:

  • Google OAuth:‏ Google OAuth מופעל כברירת מחדל. כדי להוסיף משתמש, צריך לתת לחשבון הראשי שלו תפקיד מתאים ב-IAM ב-Looker (Google Cloud core) באמצעות IAM במסוף Google Cloud .
  • SAML או OpenID Connect‏ (OIDC): מוסיפים משתמשים בהגדרה של ספק הזהויות החיצוני. אם ספק זהויות אחר מוגדר, אימות OAuth של Google יישאר זמין כשיטת אימות לגיבוי כברירת מחדל.

חשבונות Looker של המשתמשים ייווצרו בכניסה הראשונה. אי אפשר להוסיף משתמשים פרטיים בדף משתמשים, אבל אפשר להוסיף חשבונות שירות שמוגבלים ל-API בדף משתמשים.

יצירת חשבון שירות עם גישה ל-API בלבד

חשבונות שירות הם החשבונות היחידים שאפשר ליצור במופע של Looker (Google Cloud core).

אפשר ליצור חשבונות לשימוש ב-API בלבד (שנקראים לעיתים קרובות חשבונות שירות) מהדף Users במופע של Looker (Google Cloud core). אפשר להקצות לחשבונות האלה תפקידי אדמין ב-Looker ופרטי כניסה ל-Looker API. עם זאת, אי אפשר להיכנס לחשבונות האלה ל-Looker (Google Cloud core) דרך ממשק המשתמש.

חשבונות שירות משתמשים ברישיונות בהתאם לתפקידים שהוקצו להם. אם לחשבון שירות מוקצים כמה תפקידים, הוא צורך רישיון אחד מהרמה הגבוהה ביותר שזמינה בין התפקידים האלה. לדוגמה, אם לחשבון שירות יש הרשאות צפייה והרשאות מפתח, הוא משתמש ברישיון מפתח.

כדי להוסיף חשבון שירות:

  1. לוחצים על הכפתור הוספת חשבונות שירות כדי לפתוח את הדף הוספת חשבון שירות חדש.
  2. בשדה Service Account Name, מזינים שם לחשבון השירות.
  3. המתג Create default set of API credentials (יצירת קבוצת ברירת מחדל של פרטי כניסה ל-API) מופעל כברירת מחדל. אם לא רוצים ליצור פרטי כניסה ל-API עבור החשבון, לוחצים על המתג כדי להשבית את האפשרות הזו.
  4. בוחרים את הקבוצות ואת התפקידים שרוצים להקצות לחשבון השירות.
  5. לוחצים על הלחצן שמירה.

אפשר לראות ולערוך חשבונות שירות קיימים בכרטיסייה חשבונות שירות בדף משתמשים. כדי לערוך חשבון שירות, לוחצים על השורה של חשבון השירות כדי להציג את הדף עריכת משתמש. בדף עריכת משתמש אפשר:

הסרת הגישה ל-Looker (Google Cloud Core)‎

כדי להסיר גישה למופע של Looker (Google Cloud core), מבצעים אחת מהפעולות הבאות:

  • Google OAuth: מבטלים את תפקיד ה-IAM של Looker (Google Cloud core) של המשתמש באמצעות IAM במסוף Google Cloud .
  • SAML או OpenID Connect‏ (OIDC): מעדכנים את ההגדרה בספק הזהויות החיצוני ששימש לאימות.

למרות שהמשתמש לא יכול יותר להיכנס למופע, חשבון המשתמש עדיין יופיע כפעיל בדף משתמשים. כדי להסיר את חשבון המשתמש מהדף Users, צריך למחוק את המשתמש במופע של Looker (Google Cloud core).

מחיקת משתמשים ממופע Looker (Google Cloud core) שמשויך למינוי Data Studio Pro מקטינה את מספר הרישיונות החינמיים ל-Data Studio Pro שמוקצים למופע. אם מספר הרישיונות החינמיים של Pro שהוקצו למופע שלכם יהיה קטן ממספר הרישיונות שנמצאים בשימוש, ההפרש יומר באופן מיידי לרישיונות בתשלום, בהתאם לתמחור של Data Studio Pro.

בחירת שיטת אימות למשתמשי Looker (Google Cloud core)

יכול להיות שתידרש הגדרה של לקוח OAuth כחלק מיצירת מופע, ואימות OAuth הוא שיטת האימות לגיבוי ב-Looker (ליבת Google Cloud). עם זאת, אתם יכולים לבחור בין כמה שיטות אימות ראשיות שונות. בדף התיעוד שיטות אימות משתמשים ב-Looker (Google Cloud core) מפורטות שיטות האימות הזמינות.

הגדרת תפקיד ברירת מחדל ב-Looker במופע של Looker (Google Cloud Core)‎

לפני שמוסיפים משתמשים, אפשר להגדיר את תפקיד Looker שיוקצה לחשבונות משתמשים עם תפקיד IAM של משתמש במופע Looker, כשהם ייכנסו לראשונה למופע Looker (Google Cloud core). כדי להגדיר תפקיד ברירת מחדל, פועלים לפי השלבים שמופיעים במאמרי העזרה של פלאגין שמתממשק עם שירותים חיצוניים: OAuth,‏ SAML או OpenID Connect.

המאמרים הבאים