Administratoreinstellungen – Nutzerattribute

Benutzerattribute bieten jedem Looker-Benutzer eine individuelle Erfahrung. Ein Looker-Administrator definiert ein Benutzerattribut und wendet dann einen Benutzerattributwert auf eine Benutzergruppe oder einzelne Benutzer an.

Administratoren können auch Nutzerattribute definieren, für die die Nutzer selbst Werte wie Passwörter oder Kontaktdaten angeben. An verschiedenen Stellen in Looker kann auf die Benutzerattribute verwiesen werden, um jedem Benutzer ein benutzerdefiniertes Erlebnis zu bieten.

Looker fügt automatisch einige Nutzerattribute hinzu, z. B. email, first_name, landing_page, last_name, full_name, ID, timezone (falls konfiguriert), locale und number_format.

Nutzerattribute ansehen

Eine Liste der Nutzerattribute finden Sie im Menü Verwaltung im Bereich Nutzer auf der Seite Nutzerattribute.

Die Tabelle mit den Nutzerattributen enthält Name, Label und Typ für jedes Nutzerattribut. Weitere Informationen finden Sie im folgenden Abschnitt. Darüber hinaus enthält die Tabelle eine Schaltfläche für Aktionen, die Sie für das Nutzerattribut ausführen können. Bei einigen Attributen wird „Systemstandard“ anstelle einer Schaltfläche für Aktionen angezeigt. Das bedeutet, dass Looker diese Attribute automatisch für jeden Nutzer erstellt. Die Standardbenutzerattribute des Systems sind von Looker für den internen Gebrauch reserviert und können nicht bearbeitet werden.

Nutzerattribute erstellen

Um ein Nutzerattribut zu definieren, klicken Sie im Menü Admin im Abschnitt Nutzer auf der Seite Nutzerattribute auf die Schaltfläche Nutzerattribut erstellen. Für jedes Nutzerattribut gelten die folgenden Einstellungen:

  • Name: Der Name des Nutzerattributs zur Verwendung in textbasierten Umgebungen wie LookML (Namen dürfen nur Kleinbuchstaben, Ziffern und Unterstriche enthalten).
  • Label: Die nutzerfreundliche Version des Namens. Standardmäßig ist dies der Name des Attributs, wobei Unterstriche durch Leerzeichen ersetzt und jedes Wort großgeschrieben wird. Das Label kann jedoch bei Bedarf geändert werden.

  • Datentyp: Mit dieser Einstellung wird geprüft, ob Nutzern für dieses Nutzerattribut gültige Werte zugewiesen sind. Der Datentyp des Benutzerattributs kann einer der folgenden sein:

    • String: Wählen Sie diese Option aus, um ein Nutzerattribut zu erstellen, das genau mit einem Stringwert übereinstimmt, z. B. einem Nutzernamen. Wenn Sie mehrere Stringwerte oder einen Looker-Filterausdruck im Nutzerattributwert verwenden möchten, wählen Sie stattdessen die Option Stringfilter (erweitert) aus. Wenn Ihr Nutzerattribut als literaler String behandelt werden soll, müssen Sie einfache Anführungszeichen ' in die Syntax einfügen, wie in diesem Beispiel: '{{ _user_attributes['name_of_attribute'] }}'
    • Nummer: Wählen Sie diese Option aus, um eine einzelne Nummer anzugeben, z. B. eine Mitarbeiternummer. Wenn Sie einen Zahlenbereich oder einen Looker-Filterausdruck verwenden möchten, nutzen Sie stattdessen den Zahlenfilter (erweitert).
    • Datum/Uhrzeit: Wählen Sie diese Option aus, um ein einzelnes Datum oder eine einzelne Uhrzeit anzugeben, z. B. das Geburtsdatum des Nutzers. Wenn Sie einen Datumsbereich oder einen Looker-Filterausdruck verwenden möchten, nutzen Sie stattdessen den Datums-/Uhrzeitfilter (erweitert).
    • Relative URL: Wählen Sie diese Option aus, um eine relative URL wie /browse/boards/2 anzugeben, die auf bestimmte Inhalte wie ein Board, einen Ordner oder eine Markdown-Datei (z. B. eine README- oder Dokumentdatei in einem Projekt) auf Ihrer Looker-Instanz verweist. Das Nutzerattribut landing_page hat beispielsweise den Datentyp Relative URL und kann verwendet werden, um eine bestimmte Startseite für einen Nutzer oder eine Gruppe anzugeben.
    • Stringfilter (erweitert): Wählen Sie diese Option aus, um mehrere Stringwerte oder einen Looker-Filterausdruck im Nutzerattribut zuzulassen. Auf der Dokumentationsseite Filterausdrücke finden Sie eine Liste der Filterausdrücke, die Sie für Strings verwenden können.
    • Nummernfilter (erweitert): Wählen Sie diese Option aus, um einen Bereich numerischer Werte oder einen Looker-Filterausdruck im Nutzerattribut zuzulassen. Auf der Dokumentationsseite Filterausdrücke finden Sie eine Liste der Filterausdrücke, die Sie für Zahlen verwenden können.
    • Datums-/Uhrzeitfilter (erweitert): Wählen Sie diese Option aus, um einen Datumsbereich oder einen Looker-Filterausdruck im Nutzerattribut zuzulassen. Auf der Dokumentationsseite Filterausdrücke finden Sie eine Liste der Filterausdrücke, die Sie für Datum und Uhrzeit verwenden können.

    Verwenden Sie die Datentypen Stringfilter (erweitert), Zahlenfilter (erweitert) und Datums-/Uhrzeitfilter (erweitert), um Werte mithilfe von Looker-Filterausdrücken einzugeben. Dadurch wird ein Wertebereich für ein Nutzerattribut zurückgegeben.

  • Nutzerzugriff: Sie können die Sichtbarkeit und die Bearbeitungsrechte der Nutzer für ein Nutzerattribut festlegen:

    • Keine: Die Anzeigen werden nicht auf den Kontoseiten der Nutzer angezeigt.
    • Ansehen: Wird auf den Kontoseiten der Nutzer angezeigt, kann aber nicht bearbeitet werden.
    • Bearbeiten: Diese Option wird auf den Kontoseiten der Nutzer angezeigt und kann vom Nutzer festgelegt werden.

  • Werte ausblenden: Auch wenn Nutzerattribute für Nutzer sichtbar sind, führt die Einstellung dieser Option auf Ja dazu, dass die Nutzerattributwerte maskiert werden. Dies ist nützlich für Passwörter oder andere vertrauliche Informationen. Wenn Sie diesen Wert auf Yes festlegen, wird auch der Nutzerattributwert in den Nutzerattribut-Drop-downs auf der Seite Verbindungseinstellungen maskiert. Nachdem dieser Wert auf Yes (Ja) gesetzt wurde, kann er nicht mehr in No (Nein) geändert werden. Wenn Sie Hide Values (Werte ausblenden) auf Yes (Ja) setzen, müssen Sie auch eine Zulassungsliste mit Domains angeben, die als Ziel für das Nutzerattribut zulässig sind.

  • Domain-Zulassungsliste: Wenn Sie die Werte für ein neues Nutzerattribut ausblenden, müssen Sie auch eine Domain-Zulassungsliste mit den URLs angeben, an die das Attribut gesendet werden kann, z. B. Hostnamen für Datenbankverbindungen und URLs für Git-HTTPS-Integrationen für Projekte. Sie können den Platzhalter (*) verwenden, um die Lieferung an mehrere Seiten auf derselben Website zu ermöglichen. Nachdem Sie eine Domain-Zulassungsliste angegeben haben, kann das Nutzerattribut nur an die aufgeführten Ziele gesendet werden.

    Nachdem Sie die Domain-Zulassungsliste für dieses Nutzerattribut festgelegt haben und dem Nutzerattribut Werte zugewiesen wurden – für einen Nutzer, für eine Gruppe oder durch Festlegen eines Standardwerts – können Sie die Zulassungsliste nicht mehr ändern, um die Einschränkungen der URLs zu verringern. Sie können URLs nur einschränken oder URLs aus der Zulassungsliste entfernen. Wenn die Domain-Zulassungsliste beispielsweise den Eintrag my_domain/route/* enthält, können Sie diesen Eintrag später nicht mehr in my_domain/* ändern. Wenn Sie die Zulassungsliste weniger einschränken müssen, löschen Sie alle vorhandenen Werte, die dem Nutzerattribut zugewiesen sind, einschließlich der Standardwerte.

  • Standardwert festlegen: Klicken Sie dieses Kästchen an, um einen Standardwert für den Fall festzulegen, dass einem Nutzer kein Wert zugewiesen ist.

Nachdem Sie ein Nutzerattribut definiert haben, können Sie einzelnen Nutzern oder Nutzergruppen Werte zuweisen. Klicken Sie dazu auf der Seite auf die Tabs Nutzerwerte und Gruppenwerte.

Einzelnen Nutzern Werte zuweisen

Nachdem Sie ein Nutzerattribut definiert haben, können Sie einem einzelnen Nutzer einen Wert zuweisen:

  1. Klicken Sie im Bereich Nutzer des Menüs Admin auf der Seite Nutzerattribute auf den Tab Nutzerwerte.
  2. Wählen Sie im Drop-down-Menü den Nutzer aus, dem Sie einen Wert zuweisen möchten. Daraufhin wird eine Tabelle mit Werten angezeigt, die für diesen Nutzer gelten.
  3. Klicken Sie auf die Schaltfläche Wert für Nutzer festlegen.
  4. Geben Sie den neuen Wert in das Feld Neuer Wert ein.
  5. Klicken Sie auf Speichern.

Wird einem einzelnen Nutzer ein Wert zugewiesen, hat dieser immer Vorrang vor allen Werten, die den Gruppen dieses Nutzers zugewiesen sind. Auf dem Tab Nutzerwerte wird angezeigt, wenn einem Nutzerattribut ein benutzerdefinierter Wert zugewiesen wurde, der einen Gruppenwert überschreibt. Neben allen überschriebenen Werten wird der Text „Überschrieben“ angezeigt. Diese Werte werden nicht berücksichtigt. Der Text „Aktueller Wert“ wird neben dem Wert des aktiven Nutzerattributs angezeigt.

Wenn Sie einem Nutzerattribut mehrere Werte zuweisen möchten, verwenden Sie den Datentyp Stringfilter (erweitert) und geben Sie mehrere Werte durch Kommas getrennt ein. Achten Sie darauf, dass sich zwischen den Werten kein Leerzeichen befindet. Beispiel: Executive, Management, Contributors.

Um einem Looker-Administrator oder einem anderen Nutzer alle möglichen Werte zuzuweisen, verwenden Sie im Benutzerattribut einen Platzhalterwert:

  • Wenn Sie einem Administrator oder einem anderen Nutzer Zugriff auf alle Werte eines Stringfelds gewähren möchten, legen Sie den Datentyp des Nutzerattributs auf Stringfilter (erweitert) fest und verwenden Sie den Wert %, NULL.

  • Wenn Sie einem Administrator oder einem anderen Nutzer Zugriff auf alle Werte eines Zahlenfelds gewähren möchten, legen Sie den Datentyp des Nutzerattributs auf Zahlenfilter (erweitert) fest und verwenden Sie den Wert <0, >=0, NULL.

User-Gruppen Werte zuweisen

Sie können einer Nutzergruppe einen Wert für ein Nutzerattribut zuweisen. Wählen Sie auf der Seite Nutzerattribute des Admin-Bereichs rechts neben dem Attribut, das Sie festlegen möchten, die Option Bearbeiten aus. Führen Sie dann folgende Schritte aus:

  1. Klicken Sie auf den Tab Werte gruppieren.
  2. Klicken Sie auf die Schaltfläche + Gruppe hinzufügen.
  3. Wählen Sie im Drop-down-Menü die Gruppe aus, der Sie einen Wert zuweisen möchten.
  4. Geben Sie in das Feld Wert den Wert für die Gruppe ein.
  5. Klicken Sie auf Speichern.

Wenn ein Wert mehreren Gruppen zugewiesen wird, müssen Sie entscheiden, welche Gruppe Vorrang haben soll, falls ein Nutzer mehreren Gruppen angehört. Ziehen Sie dazu die Gruppen in die gewünschte Reihenfolge. Jede Gruppe hat Vorrang vor den darunter aufgelisteten Gruppen.

Beispielsweise könnten Sie die Gruppen „Führungsteam“ und „Managementteam“ haben. Führungskräfte sind auch Manager, also Mitglieder beider Gruppen. Wenn Sie die Gruppe „Führungskraft“ an den Anfang der Liste ziehen, wird ihren Mitgliedern der Wert Führungskraft und nicht der Wert Administrator zugewiesen.

Wenn ein Nutzer einen benutzerdefinierten Wert für ein Nutzerattribut festgelegt hat, überschreibt dieser Wert alle Werte, die einer Gruppe zugewiesen werden, zu der der Nutzer gehört.

Wo können Nutzerattribute verwendet werden?

Nutzerattribute haben die folgenden Funktionen:

Datenbankverbindungen

Host, Port, Datenbank, Nutzername, Passwort und Schema einer Verbindung können jeweils den Wert eines Nutzerattributs erhalten. Im Feld „Verbindungshost“ können keine Nutzerattribute verwendet werden, deren Nutzerzugriffsebene auf Bearbeitbar festgelegt ist.

Diese Nutzerattribute machen die Verbindung spezifisch für den Nutzer, der eine Abfrage ausführt. Auf Nutzerattribute kann auch im Feld Zusätzliche JDBC-Parameter verwiesen werden, wodurch der JDBC-Verbindungsstring angepasst wird. Wenn ein Nutzer eine Abfrage über die Verbindung ausführt, werden die dem Nutzer zugewiesenen Nutzerattributwerte angewendet, sodass die Verbindung basierend auf dem Nutzer angepasst werden kann.

Konfiguration

Jede Verbindung kann für die Verwendung von Nutzerattributen von der Seite Verbindungen im Bereich Admin von Looker konfiguriert werden. Informationen zur Seite Verbindungen finden Sie auf der Dokumentationsseite Administratoreinstellungen – Verbindungen. Klicken Sie auf Add Connection (Verbindung hinzufügen), um eine neue Verbindung zu erstellen. Klicken Sie neben der Verbindung auf Bearbeiten, um eine vorhandene Verbindung zu konfigurieren.

Wenn eine Eingabe für ein Nutzerattribut festgelegt werden kann, wird in Looker neben dem Eingabe- die Schaltfläche Nutzerattribut angezeigt.

Klicken Sie auf die Schaltfläche Nutzerattribut, um ein Drop-down-Menü aufzurufen, in dem Sie das gewünschte Nutzerattribut auswählen können. In der Liste wird der Name des Nutzerattributs mit dem Wert des aktuellen Nutzerattributs in Klammern angezeigt.

Um im Feld Zusätzliche JDBC-Parameter auf ein Benutzerattribut zu verweisen, verwenden Sie dieselbe Liquid-Vorlagensyntax wie in LookML. Nutzerattribute werden über die Liquid-Variable von _user_attributes zur Verfügung gestellt. Wenn Sie beispielsweise auf ein Nutzerattribut namens my_jdbc_param_attribute verweisen möchten, verwenden Sie die folgende Syntax:

my_jdbc_param={{ _user_attributes['name_of_attribute'] }}

Anwendungsfall: Berechtigungen auf Datenbankebene in Looker anwenden

Wenn Ihre Datenbank verschiedene Konten mit verschiedenen Zugriffsbeschränkungen hat, können Sie Ihre Datenbankberechtigungen in Looker nutzen. Parametrisieren des Nutzernamens und des Passworts einer Verbindung, sodass jeder Nutzer eine Verbindung mit den entsprechenden Anmeldedaten für seine Datenbankzugriffsebene herstellt. So wird zwar sichergestellt, dass Benutzer keine Daten sehen, auf die sie keinen Zugriff haben sollten, dies hat jedoch keinen Einfluss darauf, welche Explores, Dimensionen und Messwerte ihnen in Looker angezeigt werden.

Wenn ein Nutzer beispielsweise so konfiguriert ist, dass er mit einem Konto eine Verbindung zur Datenbank herstellt und die Spalte „credit_card_number“ in der Tabelle „user“ nicht sehen kann, wird ihm in Looker weiterhin jede Dimension angezeigt, in der diese Datenbankspalte verwendet wird. Sie erhalten eine Fehlermeldung von der Datenbank, wenn sie versuchen, eine Abfrage auszuführen, die diese Dimension enthält.

Anwendungsfall: Ein Modell für mehrere identische Datenbanken verwenden

Angenommen, Sie haben mehrere Datenbanken mit genau dem gleichen Schema, z. B. wenn die Daten jedes Kunden in einer eigenen Datenbank für Datensicherheitsmaßnahmen (wie HIPAA-Compliance) isoliert sind. Oder Sie möchten, dass Ihre LookML-Entwickler Abfragen für eine Entwicklungskopie einer Produktionsdatenbank ausführen.

Wenn sich diese Datenbanken auf demselben Datenbankserver befinden, müssen Sie keine separaten Verbindungen und Modelle einrichten. Legen Sie stattdessen die Datenbank einer Verbindung auf ein Nutzerattribut fest. Jeder Nutzer wird dann auf die Datenbank verwiesen, die in seinem Wert für das Nutzerattribut Database Name angegeben ist.

Datenaktionen

Datenaktionen können so konfiguriert werden, dass sie bestimmte Nutzerattribute mit ihrer JSON-Nutzlast enthalten. Verwenden Sie diese Option, um zusammen mit den Daten nutzerspezifische Informationen zu senden, z. B. ihre Anmeldedaten, um einen Vorgang für einen bestimmten Dienst auszuführen.

Konfiguration

Um ein Nutzerattribut in eine Datenaktion aufzunehmen, fügen Sie der action-Definition einen user_attribute_param-Block hinzu. Jeder Block benötigt zwei Parameter:

  • user_attribute: der Name des Nutzerattributs
  • name: Der in der JSON-Nutzlast zu verwendende Name.

In diesem Beispiel werden die Salesforce-Anmeldedaten jedes Nutzers in Looker mit den zwei Nutzerattributen salesforce_username und salesforce_password gespeichert. Wenn ein Nutzer die Datenaktion „Update in Salesforce“ durchführt, sendet Looker seine Salesforce-Anmeldedaten mit der JSON-Nutzlast, die der empfangende Server zur Authentifizierung bei Salesforce verwenden kann.

dimension: stage_name {
  type: string
  sql: ${TABLE}.stage_name;;
  action: {
    label: "Update in Salesforce"
    url: "https://example.com/my_salesforce_url"
    user_attribute_param: {
      user_attribute: salesforce_username
      name: "username"
    }
    user_attribute_param: {
      user_attribute: salesforce_password
      name: "password"
    }
    form_param: {
      name: "new_stage_name"
      type: string
      required: yes
    }
  }
}

Benutzerdefinierte Aktionen in einem Action Hub

Sie können eine benutzerdefinierte Aktion so konfigurieren, dass Nutzerattribute berücksichtigt werden, die verhindern, dass Nutzer Looker-Inhalte an dieses Aktionsziel senden oder planen, wenn für dieses Nutzerattribut kein Wert definiert ist.

Konfiguration

Der Parameter params in einer benutzerdefinierten Aktion steht für die Formularfelder, die ein Looker-Administrator auf der Aktivierungsseite der Aktion im Bereich Admin in der Liste Aktionen konfigurieren muss. Fügen Sie im Parameter params Ihrer Aktionsdatei Folgendes ein:

  params = [{
    description: "A description of the param.",
    label: "A label for the param.",
    name: "action_param_name",
    user_attribute_name: "user_attribute_name",
    required: true,
    sensitive: true,
  }]

Dabei ist user_attribute_name das Nutzerattribut, das im Feld Name auf der Seite Nutzerattribute im Bereich Nutzer des Admin-Steuerfelds definiert ist. required: true bedeutet, dass für dieses Nutzerattribut ein gültiger Wert ungleich Null definiert sein muss, um beim Übermitteln von Daten die Aktion zu sehen. sensitive: true bedeutet, dass der Nutzerattributwert verschlüsselt und nach der Eingabe nie in der Looker-Benutzeroberfläche angezeigt wird. Sie können mehrere Unterparameter für Nutzerattribute angeben.

Ein Looker-Administrator muss die Formularfelder der Aktion mit dem Benutzerattribut konfigurieren:

  1. Klicken Sie im Steuerfeld Admin auf der Seite Aktionen neben der Aktion auf die Schaltfläche Aktivieren oder Einstellungen.
  2. Klicken Sie für das entsprechende Feld auf das Nutzerattributsymbol und wählen Sie das gewünschte Nutzerattribut aus.

Weitere Informationen finden Sie auf der Dokumentationsseite Daten über einen Action Hub freigeben im Abschnitt Nutzerattribute zu benutzerdefinierten Aktionen hinzufügen.

Filter

Filter für Explores, Looks und Dashboards können auf ein Nutzerattribut festgelegt werden, um die Abfrage auf Grundlage des Nutzers anzupassen, der sie ausführt.

Sie können beispielsweise ein Nutzerattribut namens salesforce_username erstellen und jeden Looker-Nutzer so konfigurieren, dass sein Wert dafür sein Salesforce-Nutzername ist. Dann könnten Sie einen Filter für ein Dashboard auf das Nutzerattribut salesforce_username festlegen. Jeder Nutzer sieht das Dashboard dann gefiltert nach seinem Salesforce-Nutzernamen.

Konfiguration

Im Abschnitt FILTER eines Explores, Looks oder Dashboards:

  1. Wählen Sie für den gewünschten Filter die Option Stimmt mit einem Nutzerattribut überein aus.

    Das Auswahlfeld rechts wird automatisch mit einer Liste von Nutzerattributen aktualisiert, die denselben Typ wie das Feld des Filters haben, z. B. Zahl, String (Text), Datum usw. Looker zeigt Ihren Wert für jedes Benutzerattribut in Klammern an.

  2. Wählen Sie das gewünschte Nutzerattribut aus.

Erweiterte Filtersyntax

Wenn Sie etwas komplexer als eine einfache Gleichheitsprüfung für den Filter ausführen möchten, wählen Sie Übereinstimmungen (erweitert) aus und verweisen Sie mithilfe einer Liquid-Variablen auf das Nutzerattribut:

{{ _user_attributes['name_of_attribute'] }}

Angenommen, Sie müssen dem Wert des Nutzerattributs salesforce_username das Präfix sf_ zuweisen, da die Werte auf diese Weise in Ihrer Datenbank gespeichert werden. Verwenden Sie die Liquid-Variablensyntax _user_attributes, um dem Nutzerattributwert das Präfix hinzuzufügen:


sf_{{_user_attributes['salesforce_username']}}

Sie können dasselbe Muster verwenden, um Benutzerattribute in LookML-Dashboard-Filter und Dashboard-Elementfilter einzufügen.

Geplante Dashboards und Looks

Dashboard- und Look-Filter können pro Zeitplan festgelegt werden, einschließlich der Option zur Verwendung eines Benutzerattributs. So können Sie die Ergebnisse der Datenzustellung für jeden E-Mail-Empfänger anpassen. Sie können Übermittlungen für Inhalte anpassen, die als einmalige oder wiederkehrende Übermittlungen gesendet werden.

Sie können beispielsweise ein Nutzerattribut namens salesforce_username erstellen und als Wert den Salesforce-Nutzernamen jedes Nutzers festlegen. Legen Sie in einem Dashboard oder Look-Zeitplan einen Filter für das Nutzerattribut salesforce_username fest, damit jeder Empfänger dieses Dashboard nach seinem Salesforce-Nutzernamen gefiltert erhält.

Vorbereitung

Nur Looker-Benutzer haben Benutzerattributwerte festgelegt. Daher muss jeder Empfänger der Datenlieferung ein Looker-Konto haben. Benutzerattribute werden angewendet, indem das Dashboard oder der Look für jeden Empfänger einmal ausgeführt wird.

Konfiguration

Öffnen Sie den Planer für den Look oder das Dashboard:

  1. Wählen Sie im Abschnitt Filter die Option Stimmt mit einem Nutzerattribut überein für den gewünschten Filter aus.

    Das Auswahlfeld rechts wird automatisch mit einer Liste von Nutzerattributen aktualisiert, die denselben Typ wie der Filter haben. Ihr eigener Wert für jedes Nutzerattribut wird in Klammern angezeigt.

  2. Wählen Sie das gewünschte Nutzerattribut aus.

  3. Klicken Sie neben dem Feld E-Mail-Optionen das Kästchen Zeitplan als Empfänger ausführen an.

Zugriffsfilter

Sie können die Daten, auf die ein Nutzer zugreifen kann, mithilfe von Zugriffsfiltern einschränken, die Sicherheit auf Zeilenebene bieten. Sie können zwar den Parameter access_grant verwenden, Zugriffsfilter lassen sich mithilfe von Nutzerattributen aber einfacher implementieren und verwalten.

Zugriffsfilter bieten eine sichere Möglichkeit, nutzerspezifische Dateneinschränkungen anzuwenden. Das Definieren eines oder mehrerer Zugriffsfilter für ein LookML-Explore erzwingt, dass die von einem Explore zurückgegebenen Daten basierend auf dem Benutzer gefiltert werden, der die Abfrage ausführt. Daher bieten Zugriffsfilter eine zusätzliche Einschränkungsebene, die dafür sorgen, dass der Benutzer nur bestimmte Teilmengen der Daten einer Datenbankverbindung sehen kann.

Konfiguration

  1. Erstellen Sie ein Nutzerattribut:
    • Legen Sie bei der Konfiguration den Nutzerzugriff auf Keiner (empfohlen) oder Ansehen fest. Ein Nutzerattribut, das so konfiguriert ist, dass es von Nutzern bearbeitet werden kann, kann nicht als Zugriffsfilter verwendet werden.
    • Weisen Sie Gruppen oder einzelnen Nutzern Benutzerattributwerte zu.
  2. Fügen Sie in der LookML-Definition für das Explore, in dem der Zugriffsfilter angezeigt werden soll, einen access_filter-Block mit den folgenden Parametern hinzu:
    • field: der Name des LookML-Felds, nach dem gefiltert werden soll
    • user_attribute: Der Name des Nutzerattributs, in dem der Wert gespeichert ist, den Sie zum Filtern der Daten verwenden möchten
  3. Führen Sie eine Abfrage für dieses Explore aus.
  4. Sehen Sie in der WHERE-Klausel des SQL-Codes der Abfrage nach, ob die Daten entsprechend dem Wert für das Nutzerattribut gefiltert werden.

Dieser LookML-Code sorgt dafür, dass Abfragen zu Bestellungen nach Marke gefiltert werden, wobei die jeweilige Marke auf dem dem Nutzer zugewiesenen Wert für ein Nutzerattribut mit dem Namen company basiert:

explore: orders {
  view_name: orders
  access_filter: {
    field: products.brand_name
    user_attribute: company
  }
  join: products {
    foreign_key: orders.product_id
  }
}

Verbindung zu Git-Anbietern herstellen

Für LookML-Projekte können Sie die Git-Authentifizierung über HTTPS konfigurieren. Bei Projekten mit HTTPS-Git-Authentifizierung können Sie Nutzerattribute verwenden, um sich in den Git-Konten einzelner Entwickler anzumelden, wenn Git-Vorgänge für den Entwickler ausgeführt werden.

Nutzerattribute für Git-Kontopasswörter müssen ausgeblendet sein. Wählen Sie beim Erstellen des Passwortattributs unter Werte ausblenden die Option Ja aus und geben Sie die Git-Anbieter-URL in das Feld Domain-Zulassungsliste ein.

Zugriff mit Zugriffsrechten steuern

Sie können Zugriffsrechte erstellen, die den Zugriff auf ein LookML-Explore, einen Join, eine Ansicht oder ein Feld mithilfe von Benutzerattributwerten, den access_grant- und dem required_access_grants-Parameter beschränken.

Zugriffsrechte funktionieren so:

  1. Eine Zugriffszuweisung wird mit dem Parameter access_grant definiert. Im Rahmen der Definition verknüpfen Sie die Zugriffszuweisung mit einem Nutzerattribut. Außerdem geben Sie an, welche Nutzerattributwerte Zugriff auf die Zugriffsgewährung gewähren.
  2. Als Nächstes verwenden Sie den Parameter required_access_grants auf der Ebene Explore, join, View oder Feld, um diese Struktur auf Nutzer zu beschränken, die Zugriff auf alle aufgeführten Zugriffsrechte haben.

So können Sie beispielsweise den Zugriff auf die Dimension „salary“ auf die Nutzer beschränken, bei denen im Nutzerattribut „department“ der Wert „payroll“ angegeben ist.

Weitere Informationen zum Definieren von Zugriffsrechten finden Sie auf der Dokumentationsseite zum Parameter access_grant.

Liquid-Variablen

LookML ermöglicht die Verwendung verschiedener Liquid-Variablen, die für komplexere Arten benutzerdefinierter Ausgabe nützlich sein können. Die Attributwerte eines Nutzers können jetzt in Liquid aufgenommen werden. Der Liquid-Ausdruck muss eine Syntax verwenden, die zu Ihrem Datenbankdialekt passt.

Beispiele finden Sie im Abschnitt Verbindung dieser Dokumentationsseite und auf der Seite mit den Best Practices unter Nutzerattribute für das Einfügen dynamischer Schemas und Tabellennamen verwenden.

Google BigQuery-Datenlimits

Wenn Sie Google BigQuery als Datenbank verwenden, stellt Google Ihnen jede Abfrage nach ihrer Größe in Rechnung. Um zu verhindern, dass Nutzer versehentlich eine zu hohe Abfrage ausführen, können Sie in Ihrer BigQuery-Verbindung in der Einstellung Max. Abrechnung Gigabyte ein Nutzerattribut anwenden. Die Werte, die Sie im Nutzerattribut angeben, sollten die Anzahl von Gigabyte sein, die ein Nutzer in einer einzelnen Abfrage abrufen darf.

Eingebettete Dashboards

Sie können die Daten einschränken, die in eingebetteten Looks und Dashboards angezeigt werden. Legen Sie dazu Filterwerte auf Nutzerattributwerten fest. Weitere Informationen finden Sie im Communitybeitrag Eingebettetes Proof of Concept-Dashboard erstellen (Powered by Looker) .

Lokalisierung

Mit den Nutzerattributen locale und number_format können Sie die Darstellung von Daten, Visualisierungen und Teilen der Looker-Benutzeroberfläche für bestimmte Nutzer oder Nutzergruppen festlegen. Weitere Informationen finden Sie auf der Dokumentationsseite Looker lokalisieren.

Nutzerattribute und Zugriffsfilter testen

Mit der sudo-Funktion von Looker können Sie die Auswirkungen Ihrer Nutzerattribute testen. Administratoren (oder Nutzer mit den Berechtigungen see_users und sudo) können im sudo-Modus einen anderen Nutzer verwenden, um mehr über Looker zu erfahren.

Wenn Sie sich im Entwicklermodus befinden, sind Ihre Änderungen für andere Nutzer erst sichtbar, wenn Sie Ihre Änderungen für die Produktion bereitstellen. Wenn Sie Ihre Änderungen nicht bereitgestellt haben, damit sie für andere Nutzer sichtbar sind, sehen Sie Ihre Änderungen nicht, wenn Sie im SUDO-Status als anderer Benutzer vorgehen.