ユーザーガイド 基本情報 ヘルプセンター ドキュメンテーション コミュニティ トレーニング
Looker
  
English
Français
Deutsch
日本語
アクセスレベルの設計と設定

コンテンツアクセスのレベルによって、Lookerのフォルダでコンテンツを表示したり編集したりできるユーザーが決まります。権限はユーザーの役割に応じてユーザーに関連付けられますが、コンテンツアクセスはフォルダに関連付けられ、さまざまなレベルのユーザーにフォルダをどの程度オープンにするかが定義されます。

フォルダへのアクセスのタイプ

ユーザーまたはグループに割り当てることができる、特定のフォルダへのアクセス権には、次の2つのレベルがあります。

View:このアクセスレベルのユーザーは、フォルダが存在することを確認でき、その中のLookとダッシュボードを表示できます。

Manage Access, Edit:このアクセスレベルのユーザーは、Viewアクセスレベルで行えることに加えて、フォルダに次のような変更を行えます。

フォルダへのアクセスのオープンシステムとクローズドシステム

Lookerの設定では、会社のポリシーや、フォルダを操作するユーザーの種類に基づいて、ユーザーアクセスを構築できます。一般に、作成するシステムは、完全オープン、制限付きオープン、クローズドという3つの主なカテゴリーに分類されます。

フォルダへのアクセスのレベル 説明 推奨されている用途
完全にオープン すべてのユーザーが、すべての共有コンテンツを表示および変更できます。これがLookerのデフォルト設定です。 オープンなシステムは、Lookerを使用する小規模企業やチーム、データに関してオープンなポリシーを持つ企業、編集可能なレポートの共有が主に必要な企業に推奨されます。
制限付きオープン 共有コンテンツへのアクセスを何らかの方法で制限して、特定のユーザーのみが特定のコンテンツを編集できるようにするか、特定のコンテンツを特定のユーザーがまったく表示できないようにします。 制限付きオープンのシステムは、中規模または大規模のチームや企業、どのユーザーともレポートの関連性がない高度に多様化したユーザーベース、すべてのユーザーがコンテンツを表示可能だが編集は少人数のみに許可したい企業に推奨されます。
クローズド マルチテナントインストールとも呼ばれるこのシステムでは、コンテンツを特定のグループにサイロ化し、異なるグループのユーザー間では情報を共有しません。 顧客の個人情報を保護する目的で、ホワイトラベルやSSO埋め込みのユースケースではクローズドシステムを使用することを強くお勧めします。これらのユースケースでは、さまざまな企業やグループのクライアントをシステムでホストし、クライアント間で情報を共有しないのが適切です。

必要なシステムの種類が決まったら、このページで説明する手順に従って設定を進めることができます。初めてセットアップする場合、[Admin]パネルの[Content Access]セクションを使用することをお勧めします。各フォルダの変更はこのセクションでのみ行うことができます。

フォルダへのアクセスがサブフォルダに与える影響

システムをどの程度オープンまたはクローズにするかを決定する前に、親フォルダで設定したアクセスがサブフォルダにどう影響するか、また階層内の下位レベルで変更できることとできないことを理解しておく必要があります。

アクセスのタイプ 継承パターン 説明
Manage Access, Edit フォルダ階層の最下位まで適用される あるフォルダに対するManage Access, Editのアクセス権がユーザーに付与されると、そのアクセスレベルはそのフォルダ内のすべてのLook、ダッシュボード、サブフォルダでも有効になります。フォルダ階層の下位部分でこのアクセス権をロックすることはできません。
View フォルダ階層の任意の部分で削除可能 フォルダレベルのViewアクセス権を削除すると、ユーザーは該当するフォルダとそのすべてのコンテンツを表示できなくなります。また、階層内の下位部分へのViewアクセス権を削除することもできます。その場合、特定のLook、ダッシュボードまたはサブフォルダの表示が制限され、フォルダのそれ以外の部分は表示できます。

Looker管理者は、すべてのフォルダ(つまり、すべてのコンテンツ)に対してManage Access, Editアクセス権を持ちます。Look管理者はこの権限を持っているので、システムを管理し、コンテンツの孤立を防止し、問題を抱えているユーザーを支援することができます。

完全にオープンなシステムの設定

Lookerのデフォルト設定を使用すると、すべてのフォルダへのアクセスは完全にオープンになります。共有フォルダの[Manage Access, Edit][All Users]グループに割り当てられ、共有フォルダ内のすべてのサブフォルダで同じアクセス権が継承されます。[Admin]パネルの[Content Access]セクションで、次のように設定します。

ユーザーがフォルダに対するManage Access, Editアクセス権を取得すると、そのフォルダ内のすべてのコンテンツと、下位にあるすべてのサブフォルダに対してもManage Access, Editアクセス権を持ちます。つまり、このシステムではコンテンツのアクセスに制限がありません。

個人のフォルダは別の階層にあり、これにもデフォルトの設定があります。[All Users]グループはすべての個人フォルダで[View]に設定されており、各ユーザーは自分のフォルダをプライベートにするかどうかを決定します。

制限付きオープンのシステムの設定

以下に説明する方法でシステムを完全に設定できるのは、Looker管理者のみです。

制限付きオープンのシステムを設定する手順は、以下のとおりです。

  1. 構造のプランを作成します。
  2. グループを設定して、アクセス権を細かく指定します。
  3. 共有フォルダで[All Users]グループのアクセス権を[View]に変更します。
  4. 社内全体には表示しないフォルダから[All Users]を削除します。

構造のプランを作成する

特定のフォルダの表示や編集をだれに対して許可しますか。アクセス権の設定を始める前に、大まかなプランを決めておくなら、その後の作業が非常に楽になります。また、変更箇所をチェックしながら手順を進めることができるので、さまざまなフォルダを何度もチェックし直す必要がなくなります。ユーザーをグループにまとめると、社内のさまざまな部門やチームのアクセス権を管理しやすくなります。

最も一般的な設定方法は、部門やチームごとに1つのフォルダを設置することです。例えば、次のようにします。

グループを設定してアクセス権を細かく指定する

コンテンツへのアクセスを制限する場合、Lookerのグループを使うと作業を簡単に行えます。グループには、ユーザーの場合と同じようにして、フォルダとサブフォルダにアクセス権を付与することができます。グループ内には他のグループを含めることができます。グループの設定方法については、[グループ]ページを参照してください。

まず個々のサブフォルダのアクセス権を設定してから、共有フォルダ全体のアクセス権を設定します。これは、フォルダの上位階層のアクセス権が下位にも適用されるため、先に最下位のサブフォルダのアクセス権を個別に設定しておくと安全だからです。その後、上位に移動して親レベルのフォルダに必要なアクセスレベルを設定し、その変更が下位レベルで行った設定と競合していないことを確認します。

この例では、共有フォルダ内にあるサブフォルダから始めます。[Admin]パネルの[Content Access]セクションで、次のように設定します。

共有フォルダ内の各フォルダを[A custom list of users]に設定し、コンテンツの編集を許可するグループとユーザーにManage Access, Editアクセス権を割り当てます。その後、読み取り専用アクセス権を付与するグループとユーザーにViewアクセス権を割り当てます。

上述のように、最上位の共有フォルダの設定を変更するまでは、どの設定も有効になりません。[All Users]グループのアクセスレベルが共有フォルダで[Manage Access, Edit]に設定されると、下位にある個々のサブフォルダすべてに適用されます。共有フォルダで[All Users]のアクセスレベルが変更されるまで、個々のサブフォルダ内の[All Users]の設定を変更することはできません。

設定するフォルダをクリックし、[Manage Access]をクリックします。

共有フォルダで[All Users]グループのアクセス権を[View]に変更する

この時点で変更が有効になります。忘れずに構造のプランを確認します。

まず、システム内のすべてのコンテンツに対する編集アクセス権をすべてのユーザーに付与するのではない限り、共有フォルダの[アクセスの管理]をクリックし、[All Users][Manage Access, Edit]から[View]に変更します。

その後、特定のサブフォルダを特定のグループにのみ表示する予定の場合は、次のセクションに進みます。

表示を許可しない[All Users]グループをフォルダから削除する

あるフォルダを特定のユーザーサブグループに表示しないようにする場合は、アクセスレベルの右側にあるXを使って、該当するフォルダから[All Users]を完全に削除します。これで、それらのフォルダは明示的に指定したグループやユーザーのみに表示されます。

クローズドシステムの設定

Lookerをホワイトラベル化する場合や、顧客にSSO埋め込みを利用できるようにする場合にのみ、[Closed System]オプションを有効にします。社内のユースケースには別のシステムを使用します。以下に説明する方法でシステムを完全に設定できるのは、Looker管理者のみです。

Lookerのクローズドシステムオプションを使って、次の変更を行うことができます。

クローズドシステムを設定する手順は、以下のとおりです。

  1. クローズドシステムオプションを依頼します。
  2. 構造のプランを作成します。
  3. グループを設定して、アクセス権を細かく指定します。
  4. [Admin]パネルでクローズドシステムを有効にします。
  5. システム内の各会社グループに、共有のViewアクセス権を付与します。
  6. 共有フォルダの各サブフォルダのアクセスレベルを設定します。
  7. コンテンツをサブフォルダに移行します。

これらの手順では、マルチテナントユーザーのコンテンツが共有フォルダに現在格納されていないことを前提としています。クローズドシステムでコンテンツをサイロ化し、顧客や他のグループが自分以外のコンテンツを表示できないようにするには、まずコンテンツを共有フォルダから別のサブフォルダに移動してから以下の手順を行います。

クローズドシステムオプションを依頼する

自分のインスタンスでクローズドシステムオプションを有効にしてもらうようリクエストするには、Lookerアカウントマネージャーに連絡するか、[Contact Us]をクリックしてLookerのヘルプセンター内でサポートリクエストを開きます。

構造のプランを作成する

プランを事前に設定しておけば、システムの設定を簡単に行うことができます。ここで次の2つの重要な点を考えます。

まず、会社ごとにグループを作成します。会社グループは会社ごとにすべてのユーザーをまとめて関連付けたもので、各会社のユーザーを他の会社と分けて管理します。

次に、複数の会社が同じフォルダを表示できるようにするか(すべての会社に関連するダッシュボードなど)、または会社ごとに最上位フォルダを1つずつ設置するか(1つの会社のみに該当する個別コンテンツの場合など)を検討します。

グループを設定してアクセス権を細かく指定する

会社ごとに少なくとも1つのグループが必要ですが、そのグループ内にサブグループを作成することもできます。ある会社の一部のユーザーにコンテンツの編集と管理を許可し、他のユーザーにコンテンツの表示のみを許可したい場合は、異なるユーザータイプに別個のサブグループを作成することをお勧めします。例えば、A社を最上位組織として作成してから、次の2つのサブグループを追加することができます。A社の編集者A社の閲覧者

ある会社に属するすべてのグループは、1つの最上位グループの下に置きます。

グループの設定方法については、グループのドキュメンテーションページを参照してください。

[Admin]パネルでクローズドシステムオプションを有効にする

クローズドシステムオプションを有効にするとシステムが変更されるため、フォルダのアクセスコントロールを設定する前に、クローズドシステムオプションを有効にすることをお勧めします(前述の「クローズドシステムの設定」の導入部を参照してください)。Lookerの[Admin]セクションの[General]パネルにある[Settings]セクションに移動し、オプションを有効にします。

各会社グループに、共有フォルダのViewアクセス権を付与する

各会社グループに、共有フォルダに対するViewアクセス権を付与します。こうすることで、グループのメンバーは共有フォルダにアクセスして、その中にある自社のフォルダを表示できます。グループが共有フォルダに対するViewアクセス権を持っていない場合、自社のフォルダを表示できません。これらの設定は、[Admin]パネルの[Content Access]セクションから、次のように管理します。

各サブフォルダのアクセスレベルの設定

各サブフォルダ内のコンテンツを表示または編集できるユーザーを指定するため、アクセスレベルを設定します。変更しない限り、サブフォルダには親のアクセス設定がデフォルトで設定されます。これは、ある会社が共有フォルダに対するViewアクセス権を持っている場合、別の会社のサブフォルダへのアクセス権が制限されない限り、そのサブフォルダにあるコンテンツも表示できることを意味します。各サブフォルダを確認して、アクセスを適切に制限してください。

上記の例では、[A custom list of users]を選択したので、A社のコンテンツからB社が削除されました。A社のコンテンツが存在することは、B社にはわかりません。

コンテンツをサブフォルダに移行する

ユーザーが自分のフォルダや他の個人用フォルダを表示できるようにする場合は、その個人用フォルダのコンテンツを、メインの共有階層内の適切なフォルダに移行することをお勧めします。

Top