Créer une URL d'intégration SSO

Version 3.1.23.4

Créer une URL d'intégration SSO

Crée une URL d'intégration SSO et la signe cryptographiquement avec un secret d'intégration. Cette URL signée peut ensuite être utilisée pour instancier une session d'intégration Looker dans une application Web PBL. N'apportez aucune modification à cette URL. Toute modification pourrait invalider la signature et empêcher l'URL de charger une session d'intégration Looker.

Une URL d'intégration SSO signée ne peut être utilisée qu'une seule fois. Une fois utilisée pour demander une page au serveur Looker, l'URL n'est pas valide. Les futures requêtes qui utilisent la même URL échoueront. Cela permet d'éviter les attaques par rediffusion.

La propriété target_url doit être une URL complète d'une page de l'interface utilisateur Looker : schéma, nom d'hôte, chemin et paramètres de requête. Pour charger un tableau de bord avec l'ID 56 et le filtre Date=1 years, l'URL de Looker se présente comme suit : https:/myname.looker.com/dashboards/56?Date=1%20years. Le meilleur moyen d'obtenir ce target_url consiste à accéder à la page Looker souhaitée dans votre navigateur Web, à copier l'URL affichée dans la barre d'adresse du navigateur, puis à la coller dans la propriété target_url en tant que valeur de chaîne entre guillemets dans cette requête API.

Les autorisations de l'utilisateur intégré sont définies par les groupes dont il est membre (propriété group_ids), ainsi que par les listes de modèles et les autorisations attribuées à l'utilisateur intégré. Vous devez au minimum fournir des valeurs pour la propriété "group_ids", ou pour les modèles et les propriétés d'autorisations. Ces propriétés se cumulent : un utilisateur intégré peut être membre de certains groupes ET avoir accès aux modèles et aux autorisations.

L'accès de l'utilisateur intégré correspond à l'union des autorisations accordées par les ID de groupe, les modèles et les propriétés d'autorisation.

Cette fonction ne nécessite pas strictement l'existence de tous les ID de groupe, noms d'attributs utilisateur ou noms de modèles au moment de la création de l'URL d'intégration de l'authentification unique. Les champs group_id, noms d'attribut utilisateur ou modèles inconnus sont transmis à l'URL de sortie. Pour diagnostiquer les problèmes potentiels avec une URL d'intégration de l'authentification unique, vous pouvez copier l'URL signée dans la zone de texte "Intégrer l'URI de validation" dans <your looker instance>/admin/embed.

Le paramètre secret_id est facultatif. Si elle est spécifiée, sa valeur doit correspondre à l'ID d'un secret actif défini dans l'instance Looker. Sinon, l'URL est signée à l'aide du dernier secret actif défini dans l'instance Looker.

Remarque concernant la sécurité

Protégez cette URL signée comme vous le feriez pour un jeton d'accès ou des identifiants de mot de passe. Ne l'écrivez pas sur le disque, ne la transmettez pas à un tiers et ne la transmettez que via un transport sécurisé HTTPS chiffré.

Demande

POST /embed/sso_url
Type de données
Description
Demande
HTTPRequest
body
Corps HTTP
Développer la définition HTTPBody...
body
Paramètres SSO
Développer la définition d'EmbedSsoParams...
target_url
string
URL complète de la page de l'interface utilisateur Looker à afficher dans le contexte d'intégration. Par exemple, pour afficher le tableau de bord avec l'ID 34, "target_url" ressemblerait à "https://mycompany.looker.com:9999/dashboards/34". "target_uri" DOIT contenir un schéma (HTTPS), un nom de domaine et un chemin d'URL. Le port doit être inclus s'il est nécessaire d'accéder au serveur Looker depuis les clients de navigateur. Si l'instance Looker se trouve derrière un équilibreur de charge ou un autre proxy, "target_uri" doit être le nom de domaine public et le port requis pour atteindre l'instance Looker, et non le nom réel de la machine réseau interne de l'instance Looker.
durée_session
integer
Durée en secondes après laquelle la session d'intégration SSO est valide. La valeur par défaut est de 300 secondes. La durée maximale de session est de 259 200 secondes (30 jours).
force_logout_login
booléen
Lorsque la valeur est "true", la session d'intégration supprime définitivement tous les états de connexion résiduels de Looker (dans les cookies de navigateur, par exemple) avant de créer un état de connexion avec les informations utilisateur intégrées intégrées. La valeur par défaut est "true".
id_utilisateur_externe
string
Valeur d'un système externe qui identifie de manière unique l'utilisateur intégré. Étant donné que les user_id des utilisateurs intégrés de Looker peuvent changer à chaque session d'intégration, external_user_id permet d'attribuer un identifiant utilisateur stable connu pour plusieurs sessions d'intégration.
first_name
string
Prénom de l'utilisateur intégré. Si aucune valeur n'est spécifiée, la valeur par défaut est "Embed".
last_name
string
Nom de l'utilisateur intégré. Valeur par défaut "Utilisateur" si non spécifié
User_ zone
string
Définit le fuseau horaire de l'utilisateur pour la session utilisateur intégrée, si le paramètre de fuseaux horaires spécifiques à l'utilisateur est activé dans les paramètres d'administration de Looker. La valeur "null" force l'utilisateur intégré à utiliser le fuseau horaire par défaut de l'application Looker. Vous DEVEZ omettre cette propriété dans la requête si le paramètre "Fuseaux horaires spécifiques à l'utilisateur" est désactivé. Les valeurs de fuseau horaire sont validées par rapport à la norme IANA et indiquées dans la liste déroulante "Fuseau horaire de l'application" sur la page d'administration des paramètres généraux de Looker.
autorisations
chaîne[]
modèles
chaîne[]
identifiants_groupe
entier[]
id_groupe_externe
string
Valeur unique identifiant un groupe exclusif intégré. Plusieurs utilisateurs de l'intégration qui utilisent la même valeur "external_group_id" pourront partager du contenu Looker. Les utilisateurs de contenu et d'intégration associés à "external_group_id" ne seront pas accessibles aux utilisateurs standards de Looker ni les utilisateurs d'intégration qui ne sont pas associés à cet "external_group_id".
attributs_utilisateur
objet
Dictionnaire de paires nom/valeur associant un nom d'attribut utilisateur Looker à une valeur.
id_secret
integer
ID du secret d'intégration à utiliser pour signer cette URL SSO. Si elle est spécifiée, la valeur doit être l'ID d'un secret valide (actif) défini dans l'instance Looker. Si elle n'est pas spécifiée, l'URL sera signée avec le dernier secret d'intégration actif défini dans l'instance Looker.

Réponse

200: URL SSO signée

Type de données
Description
(objet)
url
string
URL d'intégration Toute modification apportée à cette chaîne rendra l'URL inutilisable.

400 Bad Request

Type de données
Description
(objet)
Message
string
Infos sur l'erreur
documentation_url
string
Lien vers la documentation

404: introuvable

Type de données
Description
(objet)
Message
string
Infos sur l'erreur
documentation_url
string
Lien vers la documentation

409: La ressource existe déjà

Type de données
Description
(objet)
Message
string
Infos sur l'erreur
documentation_url
string
Lien vers la documentation

422: Erreur de validation

Type de données
Description
(objet)
Message
string
Infos sur l'erreur
Développer la définition de ValidationErrorDetail...
champ
string
Champ comportant une erreur
code
string
Code d'erreur
Message
string
Message d'information sur l'erreur
documentation_url
string
Lien vers la documentation
documentation_url
string
Lien vers la documentation

429 : Too Many Requests

Type de données
Description
(objet)
Message
string
Infos sur l'erreur
documentation_url
string
Lien vers la documentation