Version 4.0.23.4
Aktualisieren Sie die OIDC-Konfiguration.
Wenn Sie OIDC konfigurieren, wirkt sich das auf die Authentifizierung für alle Nutzer aus. Diese Konfiguration sollte sorgfältig ausgeführt werden.
Nur Looker-Administratoren können die OIDC-Konfiguration lesen und aktualisieren.
OIDC ist für Looker über das Feld enabled aktiviert oder deaktiviert.
Es wird dringend empfohlen, alle Änderungen an OIDC-Einstellungen mit den unten aufgeführten APIs zu testen, bevor sie global festgelegt werden.
Anfrage
PATCH
/oidc_config
Datentyp
Beschreibung
Anfrage
body
HTTPBody-Definition maximieren...
body
OIDC-Konfiguration
OIDCConfig-Definition maximieren...
kann
lock
Vorgänge, die der aktuelle Nutzer für dieses Objekt ausführen kann
alternative_email_anmeldung_erlaubt
Alternative E-Mail-basierte Anmeldung über „/login/email“ für Administratoren und für bestimmte Nutzer mit der Berechtigung „login_special_email“ zulassen. Diese Option eignet sich als Fallback, wenn LDAP-Konfigurationsprobleme später auftreten oder Sie einige Nutzer unterstützen müssen, die sich nicht in Ihrem LDAP-Verzeichnis befinden. E-Mail-/Passwort-Log-ins von Looker sind für normale Nutzer immer deaktiviert, wenn LDAP aktiviert ist.
zielgruppe
Zielgruppe des OpenID-Anbieters
auth_requires_Rolle
Nutzer können sich nur anmelden, wenn eine Rolle für sie in OIDC gefunden wird, wenn auf „true“ festgelegt
Autorisierungsendpunkt
URL des OpenID-Anbieterautorisierungs
Standard-Nutzer-IDs_neuer_Nutzer
default_new_user_groups
default_new_user_role_ids (Standard-neue_Nutzer-IDs)
Standardnutzerrollen
aktiviert
OIDC-Authentifizierung für den Server aktivieren/deaktivieren
Gruppen
Gruppenattribut
Name der Attribute von Nutzerdatensätzen, die zur Angabe von Gruppen verwendet werden. Wird verwendet, wenn „groups_finder_type“ auf „grouped_attribute_values“ festgelegt ist
Gruppen_mit_Rollen_IDs
identifier
ID der vertrauenden Partei (von OpenID-Anbieter bereitgestellt)
issuer
Aussteller des OpenID-Anbieters
Geändert am
lock
Wann diese Konfiguration zuletzt geändert wurde
Geändert von
lock
Nutzer-ID des Nutzers, der diese Konfiguration zuletzt geändert hat
neue_nutzertypen_migration
Erstmalige oidc-Anmeldung mit bestehendem Nutzerkonto über E-Mail-Adressen zusammenführen. Wenn sich ein Nutzer das erste Mal über oidc anmeldet, wird er mit diesem Konto mit seinem bestehenden Konto verbunden. Dazu wird das Konto mit einer passenden E-Mail-Adresse durch Testen der angegebenen Typen von vorhandenen Nutzern ermittelt. Andernfalls wird für den Nutzer ein neues Nutzerkonto erstellt. Diese Liste (wenn angegeben) muss eine durch Kommas getrennte Liste von Strings wie "email,ldap,google" sein
Bereiche
Secret
(Nur-Schreibzugriff) Vertrauensstellung der Partei (von OpenID-Anbieter bereitgestellt)
set_roles_from_groups
Nutzerrollen in Looker anhand von Gruppen aus OIDC festlegen
Test – Slug
lock
Slug, um Konfigurationen zu ermitteln, die zum Ausführen eines OIDC-Konfigurationstests erstellt werden
Token-Endpunkt
Token-URL des OpenID-Anbieters
user_attribute_map_email
Name der Attribute des Nutzerdatensatzes, die zum Angeben des Felds der E-Mail-Adresse verwendet werden
user_attribute_map_first_name
Name der Attribute von Nutzerdatensätzen, die zum Angeben des Vornamens verwendet werden
nutzerattribut_map_last_name
Name der Attribute von Nutzerdatensätzen, die zum Angeben des Nachnamens verwendet werden
user_attributes
user_attributes_with_ids
Nutzerinfo_Endpunkt
URL für OpenID-Anbieterinformationen
allow_normal_group_membership
Erlauben, dass Nutzer mit OIDC-Authentifizierung Mitglieder von nicht reflektierten Looker-Gruppen sind. Wird „false“ gesetzt, wird der Nutzer bei der Anmeldung aus nicht widergespiegelten Gruppen entfernt.
allow_roles_from_normal_groups
Nutzer mit OIDC-Autorisierung übernehmen Rollen von nicht reflektierten Looker-Gruppen.
allow_direct_roles
Dadurch können Rollen direkt Nutzern der OIDC-Authentifizierung zugewiesen werden.
URL
lock
Link zum Abrufen dieses Artikels
Antwort
200: Neuer Status für die OIDC-Konfiguration.
Datentyp
Beschreibung
(Objekt)
kann
lock
Vorgänge, die der aktuelle Nutzer für dieses Objekt ausführen kann
alternative_email_anmeldung_erlaubt
Alternative E-Mail-basierte Anmeldung über „/login/email“ für Administratoren und für bestimmte Nutzer mit der Berechtigung „login_special_email“ zulassen. Diese Option eignet sich als Fallback, wenn LDAP-Konfigurationsprobleme später auftreten oder Sie einige Nutzer unterstützen müssen, die sich nicht in Ihrem LDAP-Verzeichnis befinden. E-Mail-/Passwort-Log-ins von Looker sind für normale Nutzer immer deaktiviert, wenn LDAP aktiviert ist.
zielgruppe
Zielgruppe des OpenID-Anbieters
auth_requires_Rolle
Nutzer können sich nur anmelden, wenn eine Rolle für sie in OIDC gefunden wird, wenn auf „true“ festgelegt
Autorisierungsendpunkt
URL des OpenID-Anbieterautorisierungs
Standard-Nutzer-IDs_neuer_Nutzer
default_new_user_groups
Gruppendefinition maximieren...
kann
lock
Vorgänge, die der aktuelle Nutzer für dieses Objekt ausführen kann
can_add_to_content_metadata
Gruppe kann in Zugriffssteuerungen für Inhalte verwendet werden
enthält_aktueller_Nutzer
lock
Der aktuell angemeldete Nutzer ist Gruppenmitglied
Externe_Gruppen-ID
lock
Externe ID-Gruppe, wenn eingebettete Gruppe
extern_verwaltet
lock
Gruppenmitgliedschaft außerhalb von Looker verwaltet
id
lock
Eindeutige ID
Include_by_Default
lock
Dieser Gruppe werden standardmäßig neue Nutzer hinzugefügt
name
Name der Gruppe
Nutzeranzahl
lock
Anzahl der in dieser Gruppe enthaltenen Nutzer
default_new_user_role_ids (Standard-neue_Nutzer-IDs)
Standardnutzerrollen
Rollendefinition maximieren...
kann
lock
Vorgänge, die der aktuelle Nutzer für dieses Objekt ausführen kann
id
lock
Eindeutige ID
name
Name der Rolle
Berechtigungssatz
lock
(Lesezugriff)
PermissionSet-Definition maximieren...
kann
lock
Vorgänge, die der aktuelle Nutzer für dieses Objekt ausführen kann
vollständiger_Zugriff
lock
Integration
lock
id
lock
Eindeutige ID
name
Name des PermissionSets
Berechtigungen
URL
lock
Link zum Abrufen dieses Artikels
Berechtigungs-Set-ID
(Nur Schreibzugriff) ID der festgelegten Berechtigung
Modellsatz
lock
(Nur Lesezugriff) Modellsatz
ModelSet-Definition maximieren...
kann
lock
Vorgänge, die der aktuelle Nutzer für dieses Objekt ausführen kann
vollständiger_Zugriff
lock
Integration
lock
id
lock
Eindeutige ID
Modelle
name
Name des ModelSets
URL
lock
Link zum Abrufen dieses Artikels
Modell-ID
(Nur Schreibzugriff) ID des Modellsatzes
URL
lock
Link zum Abrufen dieses Artikels
Nutzer-URL
lock
Link zum Abrufen der Liste der Nutzer mit dieser Rolle
aktiviert
OIDC-Authentifizierung für den Server aktivieren/deaktivieren
Gruppen
OIDCGroupRead-Definition maximieren...
id
lock
Eindeutige ID
Looker-Gruppen-ID
lock
Eindeutige ID der Gruppe in Looker
Looker-Gruppenname
lock
Name der Gruppe in Looker
name
lock
Name der Gruppe in OIDC
Rollen
Rollendefinition maximieren...
kann
lock
Vorgänge, die der aktuelle Nutzer für dieses Objekt ausführen kann
id
lock
Eindeutige ID
name
Name der Rolle
Berechtigungssatz
lock
(Lesezugriff)
Berechtigungs-Set-ID
(Nur Schreibzugriff) ID der festgelegten Berechtigung
Modellsatz
lock
(Nur Lesezugriff) Modellsatz
Modell-ID
(Nur Schreibzugriff) ID des Modellsatzes
URL
lock
Link zum Abrufen dieses Artikels
Nutzer-URL
lock
Link zum Abrufen der Liste der Nutzer mit dieser Rolle
Gruppenattribut
Name der Attribute von Nutzerdatensätzen, die zur Angabe von Gruppen verwendet werden. Wird verwendet, wenn „groups_finder_type“ auf „grouped_attribute_values“ festgelegt ist
Gruppen_mit_Rollen_IDs
OIDCGroupWrite-Definition maximieren...
id
Eindeutige ID
Looker-Gruppen-ID
lock
Eindeutige ID der Gruppe in Looker
Looker-Gruppenname
Name der Gruppe in Looker
name
Name der Gruppe in OIDC
Rollen-IDs
identifier
ID der vertrauenden Partei (von OpenID-Anbieter bereitgestellt)
issuer
Aussteller des OpenID-Anbieters
Geändert am
lock
Wann diese Konfiguration zuletzt geändert wurde
Geändert von
lock
Nutzer-ID des Nutzers, der diese Konfiguration zuletzt geändert hat
neue_nutzertypen_migration
Erstmalige oidc-Anmeldung mit bestehendem Nutzerkonto über E-Mail-Adressen zusammenführen. Wenn sich ein Nutzer das erste Mal über oidc anmeldet, wird er mit diesem Konto mit seinem bestehenden Konto verbunden. Dazu wird das Konto mit einer passenden E-Mail-Adresse durch Testen der angegebenen Typen von vorhandenen Nutzern ermittelt. Andernfalls wird für den Nutzer ein neues Nutzerkonto erstellt. Diese Liste (wenn angegeben) muss eine durch Kommas getrennte Liste von Strings wie "email,ldap,google" sein
Bereiche
Secret
(Nur-Schreibzugriff) Vertrauensstellung der Partei (von OpenID-Anbieter bereitgestellt)
set_roles_from_groups
Nutzerrollen in Looker anhand von Gruppen aus OIDC festlegen
Test – Slug
lock
Slug, um Konfigurationen zu ermitteln, die zum Ausführen eines OIDC-Konfigurationstests erstellt werden
Token-Endpunkt
Token-URL des OpenID-Anbieters
user_attribute_map_email
Name der Attribute des Nutzerdatensatzes, die zum Angeben des Felds der E-Mail-Adresse verwendet werden
user_attribute_map_first_name
Name der Attribute von Nutzerdatensätzen, die zum Angeben des Vornamens verwendet werden
nutzerattribut_map_last_name
Name der Attribute von Nutzerdatensätzen, die zum Angeben des Nachnamens verwendet werden
user_attributes
OIDCUserAttributeRead-Definition maximieren...
name
lock
Name des Nutzerattributs in OIDC
erforderlich
lock
Muss in der OIDC-Assertion vorhanden sein, damit der Log-in erfolgreich ist
user_attributes
UserAttribute-Definition maximieren...
kann
lock
Vorgänge, die der aktuelle Nutzer für dieses Objekt ausführen kann
id
lock
Eindeutige ID
name
Name des Nutzerattributs
Label
Human-Label für Nutzerattribut
Typ
Typ des Nutzerattributs ("string", "number", "date", "yesno", "zipcode")
default_value
Standardwert, wenn für den Nutzer kein Wert festgelegt wurde
Ist_System
lock
Attribut ist ein Systemstandard
ist_dauerhaft
lock
Das Attribut ist dauerhaft und kann nicht gelöscht werden
Wert_ist_ausgeblendet
Bei Einstellung auf „true“ sehen Nutzer keine Werte für dieses Attribut
nutzer_kann_Aufruf
Nutzer, die keine Administratoren sind, können die Werte ihrer Attribute sehen und in Filtern verwenden
Nutzer_kann_bearbeiten
Nutzer können den Wert dieses Attributs für sich selbst ändern
versteckte_domain_Whitelist
Ziele, an die ein verborgenes Attribut gesendet werden kann. Nach dem Festlegen kann das Tag nicht mehr bearbeitet werden.
user_attributes_with_ids
OIDCUserAttributeWrite-Definition maximieren...
name
Name des Nutzerattributs in OIDC
erforderlich
Muss in der OIDC-Assertion vorhanden sein, damit der Log-in erfolgreich ist
user_attribute_ids
Nutzerinfo_Endpunkt
URL für OpenID-Anbieterinformationen
allow_normal_group_membership
Erlauben, dass Nutzer mit OIDC-Authentifizierung Mitglieder von nicht reflektierten Looker-Gruppen sind. Wird „false“ gesetzt, wird der Nutzer bei der Anmeldung aus nicht widergespiegelten Gruppen entfernt.
allow_roles_from_normal_groups
Nutzer mit OIDC-Autorisierung übernehmen Rollen von nicht reflektierten Looker-Gruppen.
allow_direct_roles
Dadurch können Rollen direkt Nutzern der OIDC-Authentifizierung zugewiesen werden.
URL
lock
Link zum Abrufen dieses Artikels
400: Ungültige Anfrage
Datentyp
Beschreibung
(Objekt)
nachricht
lock
Fehlerdetails
Dokumentations-URL
lock
Link zur Dokumentation
403: Berechtigung verweigert
Datentyp
Beschreibung
(Objekt)
nachricht
lock
Fehlerdetails
Dokumentations-URL
lock
Link zur Dokumentation
404: Nicht gefunden
Datentyp
Beschreibung
(Objekt)
nachricht
lock
Fehlerdetails
Dokumentations-URL
lock
Link zur Dokumentation
422: Validierungsfehler
Datentyp
Beschreibung
(Objekt)
nachricht
lock
Fehlerdetails
Fehler
ValidationErrorDetail-Definition maximieren...
Feld
lock
Feld mit Fehler
Code
lock
Fehlercode
nachricht
lock
Fehlermeldung
Dokumentations-URL
lock
Link zur Dokumentation
Dokumentations-URL
lock
Link zur Dokumentation