Mettre à jour la configuration SAML

Version 3.1.23.2

Mettez à jour la configuration SAML.

La configuration SAML a un impact sur l'authentification pour tous les utilisateurs. Cette configuration doit être effectuée avec précaution.

Seuls les administrateurs Looker peuvent lire et mettre à jour la configuration SAML.

SAML est activé ou désactivé pour Looker à l'aide du champ enabled.

Nous vous recommandons fortement de tester les modifications de paramètre SAML à l'aide des API ci-dessous avant de les définir de manière globale.

Demande

PATCH /saml_config
Type de données
Description
Demande
HTTPRequest
body
Corps HTTP
Développer la définition HTTPBody...
body
Configuration SAML
Développer la définition de SamlConfig...
peut
objet
Opérations que l'utilisateur actuel peut effectuer sur cet objet
activé
booléen
Activer/Désactiver l'authentification identique pour le serveur
certificat IDP
string
Certificat du fournisseur d'identité (fourni par le fournisseur d'identité)
URL_IDP
string
URL du fournisseur d'identité (fourni par le fournisseur d'identité)
émetteur_IdP
string
Émetteur du fournisseur d'identité (fourni par le fournisseur d'identité)
audience IDP
string
Audience du fournisseur d'identité (définie dans la configuration du fournisseur d'identité). Facultatif dans Looker. Définissez cette option uniquement si vous souhaitez que Looker valide la valeur d'audience renvoyée par le fournisseur d'identité.
dérive_horloge
integer
Nombre de secondes de dérive d'horloge à autoriser lors de la validation des codes temporels des assertions.
Adresse e-mail de l'attribut user_attribute_map
string
Nom des attributs de l'enregistrement de l'utilisateur utilisés pour indiquer le champ d'adresse e-mail
nom_premier_attribut_utilisateur
string
Nom des attributs de l'enregistrement de l'utilisateur utilisés pour indiquer le prénom.
nom_utilisateur_map_nom_utilisateur
string
Nom des attributs de l'enregistrement de l'utilisateur utilisés pour indiquer le nom de famille
nouveaux_types_migration_utilisateurs
string
Fusionnez la première connexion SAML au compte utilisateur existant à partir des adresses e-mail. Lorsqu'un utilisateur se connecte pour la première fois via SAML, cette option permet de connecter cet utilisateur à son compte existant en recherchant une adresse e-mail correspondante dans le compte en testant les types d'identifiants définis pour les utilisateurs existants. Dans le cas contraire, un compte utilisateur est créé. Si elle est fournie, cette liste doit être une chaîne de type "email,ldap,google" séparés par une virgule
autre_adresse_e-mail_autorisée
booléen
Autorisez une connexion par e-mail secondaire via "/login/email" pour les administrateurs et les utilisateurs spécifiés disposant de l'autorisation "login_special_email". Cette option est utile en tant que solution de secours lors de la configuration de LDAP, si des problèmes de configuration LDAP surviennent plus tard ou si vous devez aider des utilisateurs qui ne figurent pas dans votre annuaire LDAP. Les connexions à des adresses e-mail et des mots de passe Looker sont toujours désactivées pour les utilisateurs standards lorsque LDAP est activé.
slug de test
string
Slug pour identifier les configurations créées afin d'exécuter un test de configuration Saml
modifié_à
string
Date de la dernière modification de cette configuration
modifié_par
string
ID utilisateur de la dernière modification de cette configuration
rôles_utilisateur_par_défaut
Rôle[]
groupes_nouveaux_utilisateurs par défaut
Groupe[]
id_nouveau_rôle_par_utilisateur_par_défaut
entier[]
id_groupes_nouveaux_utilisateurs_par_défaut
entier[]
Définir des rôles à partir de groupes
booléen
Définir des rôles utilisateur dans Looker en fonction des groupes de Saml
attribut_groupes
string
Nom des attributs d'enregistrement de l'utilisateur utilisés pour indiquer des groupes. Utilisé lorsque "groups_finder_type" est défini sur "grouped_attribute_values".
groupes
groupes_avec_identifiants_rôles
Authentification requise
booléen
Les utilisateurs ne pourront pas se connecter du tout, sauf si un rôle leur est attribué dans Saml s'il est défini sur "true"
attributs_utilisateur
attributs_utilisateur_avec_identifiants
type_recherche_groupes
string
Identifiant d'une stratégie permettant à Looker de trouver des groupes dans la réponse SAML. ['grouped_attribute_values', 'individual_attributes']
valeur_membre_groupe
string
Valeur de l'attribut de groupe utilisé pour indiquer l'appartenance. Utilisé lorsque "groups_finder_type" est défini sur "individual_attributes"
page_connexion_contournée
booléen
Ignorer la page de connexion lorsque l'authentification de l'utilisateur est requise. Rediriger vers l'IdP immédiatement.
autoriser_normal_group_membership
booléen
Autoriser les utilisateurs avec authentification SAML à devenir membres de groupes Looker non renvoyées. Si la valeur est "false", l'utilisateur est supprimé des groupes non renvoyés à la connexion.
allow_roles_from_normal_groups (groupes de rôles autorisés)
booléen
Les utilisateurs OAuth authentifiés héritent des rôles de groupes Looker non renvoyées.
allow_direct_roles (rôles directs)
booléen
Autorise l'attribution directe de rôles aux utilisateurs avec authentification SAML.
url
string
Lien pour obtenir cet élément

Réponse

200: Nouvel état pour la configuration SAML.

Type de données
Description
(objet)
peut
objet
Opérations que l'utilisateur actuel peut effectuer sur cet objet
activé
booléen
Activer/Désactiver l'authentification identique pour le serveur
certificat IDP
string
Certificat du fournisseur d'identité (fourni par le fournisseur d'identité)
URL_IDP
string
URL du fournisseur d'identité (fourni par le fournisseur d'identité)
émetteur_IdP
string
Émetteur du fournisseur d'identité (fourni par le fournisseur d'identité)
audience IDP
string
Audience du fournisseur d'identité (définie dans la configuration du fournisseur d'identité). Facultatif dans Looker. Définissez cette option uniquement si vous souhaitez que Looker valide la valeur d'audience renvoyée par le fournisseur d'identité.
dérive_horloge
integer
Nombre de secondes de dérive d'horloge à autoriser lors de la validation des codes temporels des assertions.
Adresse e-mail de l'attribut user_attribute_map
string
Nom des attributs de l'enregistrement de l'utilisateur utilisés pour indiquer le champ d'adresse e-mail
nom_premier_attribut_utilisateur
string
Nom des attributs de l'enregistrement de l'utilisateur utilisés pour indiquer le prénom.
nom_utilisateur_map_nom_utilisateur
string
Nom des attributs de l'enregistrement de l'utilisateur utilisés pour indiquer le nom de famille
nouveaux_types_migration_utilisateurs
string
Fusionnez la première connexion SAML au compte utilisateur existant à partir des adresses e-mail. Lorsqu'un utilisateur se connecte pour la première fois via SAML, cette option permet de connecter cet utilisateur à son compte existant en recherchant une adresse e-mail correspondante dans le compte en testant les types d'identifiants définis pour les utilisateurs existants. Dans le cas contraire, un compte utilisateur est créé. Si elle est fournie, cette liste doit être une chaîne de type "email,ldap,google" séparés par une virgule
autre_adresse_e-mail_autorisée
booléen
Autorisez une connexion par e-mail secondaire via "/login/email" pour les administrateurs et les utilisateurs spécifiés disposant de l'autorisation "login_special_email". Cette option est utile en tant que solution de secours lors de la configuration de LDAP, si des problèmes de configuration LDAP surviennent plus tard ou si vous devez aider des utilisateurs qui ne figurent pas dans votre annuaire LDAP. Les connexions à des adresses e-mail et des mots de passe Looker sont toujours désactivées pour les utilisateurs standards lorsque LDAP est activé.
slug de test
string
Slug pour identifier les configurations créées afin d'exécuter un test de configuration Saml
modifié_à
string
Date de la dernière modification de cette configuration
modifié_par
string
ID utilisateur de la dernière modification de cette configuration
rôles_utilisateur_par_défaut
Rôle[]
Développer la définition du rôle...
peut
objet
Opérations que l'utilisateur actuel peut effectuer sur cet objet
id
integer
Identifiant unique
name
string
Nom du rôle
Autorisation définie
(Lecture seule) Autorisation définie
Développer la définition de l'ensemble d'autorisations...
peut
objet
Opérations que l'utilisateur actuel peut effectuer sur cet objet
accès complet
booléen
intégré
booléen
id
integer
Identifiant unique
name
string
Nom du jeu d'autorisations
autorisations
chaîne[]
url
string
Lien pour obtenir cet élément
id_autorisation
integer
(Écriture seule) ID de l'autorisation
ensemble_modèles
(Lecture seule) Ensemble de modèles
Développer la définition de l'ensemble de modèles...
peut
objet
Opérations que l'utilisateur actuel peut effectuer sur cet objet
accès complet
booléen
intégré
booléen
id
integer
Identifiant unique
modèles
chaîne[]
name
string
Nom de l'ensemble de modèles
url
string
Lien pour obtenir cet élément
id_ensemble_modèle
integer
(Écriture seule) ID de l'ensemble de modèles
url
string
Lien pour obtenir cet élément
URL des utilisateurs
string
Lien pour obtenir la liste des utilisateurs disposant de ce rôle
groupes_nouveaux_utilisateurs par défaut
Groupe[]
Développer la définition du groupe...
peut
objet
Opérations que l'utilisateur actuel peut effectuer sur cet objet
métadonnées_ajout_à_contenu
booléen
Le groupe peut être utilisé dans les contrôles d'accès au contenu
contient_utilisateur_actuel
booléen
L'utilisateur actuellement connecté est membre du groupe
id_groupe_externe
string
Groupe d'ID externe si le groupe d'intégration
géré en externe
booléen
Appartenance à un groupe contrôlé en dehors de Looker
id
integer
Identifiant unique
inclure_par_défaut
booléen
Les nouveaux utilisateurs sont ajoutés à ce groupe par défaut
name
string
Nom du groupe
nombre_utilisateurs
integer
Nombre d'utilisateurs inclus dans ce groupe
id_nouveau_rôle_par_utilisateur_par_défaut
entier[]
id_groupes_nouveaux_utilisateurs_par_défaut
entier[]
Définir des rôles à partir de groupes
booléen
Définir des rôles utilisateur dans Looker en fonction des groupes de Saml
attribut_groupes
string
Nom des attributs d'enregistrement de l'utilisateur utilisés pour indiquer des groupes. Utilisé lorsque "groups_finder_type" est défini sur "grouped_attribute_values".
groupes
Développer la définition de SamlGroupRead...
id
integer
Identifiant unique
id_groupe_Looker
integer
ID unique du groupe dans Looker
nom_groupe_Looker
string
Nom du groupe dans Looker
name
string
Nom du groupe en Saml
rôles
Rôle[]
Développer la définition du rôle...
peut
objet
Opérations que l'utilisateur actuel peut effectuer sur cet objet
id
integer
Identifiant unique
name
string
Nom du rôle
Autorisation définie
(Lecture seule) Autorisation définie
id_autorisation
integer
(Écriture seule) ID de l'autorisation
ensemble_modèles
(Lecture seule) Ensemble de modèles
id_ensemble_modèle
integer
(Écriture seule) ID de l'ensemble de modèles
url
string
Lien pour obtenir cet élément
URL des utilisateurs
string
Lien pour obtenir la liste des utilisateurs disposant de ce rôle
url
string
Lien vers la configuration SAML
groupes_avec_identifiants_rôles
Développer la définition de SamlGroupWrite...
id
integer
Identifiant unique
id_groupe_Looker
integer
ID unique du groupe dans Looker
nom_groupe_Looker
string
Nom du groupe dans Looker
name
string
Nom du groupe en Saml
id_rôles
entier[]
url
string
Lien vers la configuration SAML
Authentification requise
booléen
Les utilisateurs ne pourront pas se connecter du tout, sauf si un rôle leur est attribué dans Saml s'il est défini sur "true"
attributs_utilisateur
Développer la définition de l'attribut SamlUserAttributeRead...
name
string
Nom de l'attribut utilisateur en Saml
required
booléen
Doit être dans la même assertion pour que la connexion aboutisse
attributs_utilisateur
Développer la définition de l'attribut utilisateur
peut
objet
Opérations que l'utilisateur actuel peut effectuer sur cet objet
id
integer
Identifiant unique
name
string
Nom de l'attribut utilisateur
label
string
Libellé lisible pour l'attribut utilisateur
type
string
Type d'attribut utilisateur ("chaîne", "nombre", "datetime", "yesno", "code postal")
default_value
string
Valeur par défaut lorsqu'aucune valeur n'est définie pour l'utilisateur
Is_system
booléen
L'attribut est un paramètre système par défaut
est_permanent
booléen
L'attribut est définitif et ne peut pas être supprimé
valeur_est_masquée
booléen
Si la valeur est "true", les utilisateurs ne pourront pas afficher les valeurs de cet attribut
visionnage_utilisateur
booléen
Les utilisateurs qui ne sont pas administrateurs peuvent voir les valeurs de leurs attributs et les utiliser dans les filtres
Modification par l'utilisateur
booléen
Les utilisateurs peuvent modifier la valeur de cet attribut pour eux-mêmes
domaine_valeur_masquée_liste_blanche
string
Destinations vers lesquelles un attribut masqué peut être envoyé. Une fois défini, ce paramètre ne peut plus être modifié.
url
string
Lien vers la configuration SAML
attributs_utilisateur_avec_identifiants
Développer la définition de l'attribut SamlUserAttributeWrite
name
string
Nom de l'attribut utilisateur en Saml
required
booléen
Doit être dans la même assertion pour que la connexion aboutisse
id_attribut_utilisateur
entier[]
url
string
Lien vers la configuration SAML
type_recherche_groupes
string
Identifiant d'une stratégie permettant à Looker de trouver des groupes dans la réponse SAML. ['grouped_attribute_values', 'individual_attributes']
valeur_membre_groupe
string
Valeur de l'attribut de groupe utilisé pour indiquer l'appartenance. Utilisé lorsque "groups_finder_type" est défini sur "individual_attributes"
page_connexion_contournée
booléen
Ignorer la page de connexion lorsque l'authentification de l'utilisateur est requise. Rediriger vers l'IdP immédiatement.
autoriser_normal_group_membership
booléen
Autoriser les utilisateurs avec authentification SAML à devenir membres de groupes Looker non renvoyées. Si la valeur est "false", l'utilisateur est supprimé des groupes non renvoyés à la connexion.
allow_roles_from_normal_groups (groupes de rôles autorisés)
booléen
Les utilisateurs OAuth authentifiés héritent des rôles de groupes Looker non renvoyées.
allow_direct_roles (rôles directs)
booléen
Autorise l'attribution directe de rôles aux utilisateurs avec authentification SAML.
url
string
Lien pour obtenir cet élément

400 Bad Request

Type de données
Description
(objet)
Message
string
Infos sur l'erreur
documentation_url
string
Lien vers la documentation

403: Autorisation refusée

Type de données
Description
(objet)
Message
string
Infos sur l'erreur
documentation_url
string
Lien vers la documentation

404: introuvable

Type de données
Description
(objet)
Message
string
Infos sur l'erreur
documentation_url
string
Lien vers la documentation

422: Erreur de validation

Type de données
Description
(objet)
Message
string
Infos sur l'erreur
Développer la définition de ValidationErrorDetail...
champ
string
Champ comportant une erreur
code
string
Code d'erreur
Message
string
Message d'information sur l'erreur
documentation_url
string
Lien vers la documentation
documentation_url
string
Lien vers la documentation