LookerのSSO Embedの権限について細かく調べてみた

1 min read読了の目安(約1700字

LookerのSSO Embedの権限について、実際に動かしながら確認したので、自分の備忘録的に書いていきます。

はじめに

各権限

explore

Exploreページを閲覧することをユーザーに許可します。
  • explore権限を設定することで、dashboardやlookを参照時に「ここから探索」メニューが見えてexploreに遷移できるようになる

save_content

ダッシュボードやLookを変更して保存することをユーザーに許可します。
  • 保存する先は個人ディレクトリか、グループディレクトリ、あるいは共有ディレクトリを選択することができる
    • 個人(Personal)はパラメータとして設定したexternal_user_id単位になる
    • グループはexternal_group_idで設定したグループに保存される
      • external_group_idを設定しない場合は保存先として、グループディレクトリは選択できない
    • 共有ディレクトリへの保存は共有ディレクトリの権限が設定されている場合のみ保存先として選択可
      • all usersに権限を付与しているとembedユーザーでも利用できる

schedule_look_emails/schedule_external_look_emails

ユーザーが自分のメールアドレス(「email」というユーザー属性で設定)、またはメールのドメイン許可リストで設定された制限範囲内にあるメールアドレスに、ダッシュボードやLookの配信をスケジュールすることを許可します。
create_alerts権限を持つユーザーが、メールのドメイン許可リストで設定された制限範囲内のメールアドレスに、アラート通知を送信することを許可します。
任意のメールアドレスへのダッシュボードやLookの配信をスケジュールすることをユーザーに許可します。create_alerts権限を持つユーザーが任意のメールドメインにアラート通知を送信できるようにします。
  • (おそらく)embedユーザーはemailアドレスがないのでschedule_look_emailsだけではメール送信設定ができない。 schedule_external_look_emails も設定してあげる必要がある

download_with_limit/download_without_limit

  • SSO Embedのドキュメントには記載されていないが、 download_with_limitは5,000件までに結果が制限される
    • Lookerのダウンロード画面上で5,000件以上設定してもダウンロードできないので注意

see_drill_overlay

完全なExploreページに移動することなくドリルダウンすることをユーザーに許可します。
  • measureにdrill_fields設定している場合、ドリルダウンした結果を見ることができる
    • ただし、explore権限もつけているとsee_drill_overlay権限がなくてもドリルダウン可

embed_browse_spaces

コンテンツブラウザを有効にして、ユーザーが組み込みからフォルダを参照できるようにします。
embed_browse_spacesが付与された組み込みユーザーは、個人用の組み込みフォルダおよび組織用の共有フォルダ(存在する場合)にアクセスできます。
  • 画面右上から、保存したlookやdashboardを呼び出すことができる