Autenticação do Google

A página Autenticação do Google na seção Autenticação do menu Administrador permite que você configure o Google OAuth no lado do Looker.

Visão geral do recurso

Se preferir, o Looker poderá fazer a autenticação por meio do Google OAuth para usuários com contas registradas no Google Workspace.

  • As organizações que usam o Google Workspace podem autenticar os usuários do Looker pelas Contas do Google.
  • Os usuários fazem login no Looker com a autenticação na Conta do Google.
  • As novas Contas do Google têm acesso automático ao Looker. Não é necessário convidar os usuários separadamente para o Looker. Você define a função padrão para novos usuários, o que pode limitar o acesso deles a funcionalidades e dados.
  • Quando ativado, o Looker autentica os usuários apenas com o OAuth do Google, a menos que a opção "quot;alternate login"" esteja selecionada (veja mais instruções abaixo).

Um avatar do Google do usuário é exibido na barra de navegação em vez do símbolo do usuário padrão:

Os seguintes comportamentos podem afetar sua decisão de usar o Google OAuth:

  • Ao ativar o Google OAuth, a instância do Looker pode mesclar as contas de usuário existentes com o domínio registrado pelo Google, mas apenas para contas cujo endereço de e-mail corresponda ao domínio. Todas as outras contas que não são de administrador perderão a capacidade de fazer login.
  • Todos os usuários no domínio especificado têm acesso à instância do Looker.
  • As permissões dos novos usuários do Google adotam como padrão o acesso básico a uma lista especificada de modelos, que pode ser de acesso zero aos modelos. As permissões podem ser atualizadas por um administrador após a criação da conta.
  • Novas contas do Looker que se autenticam pelo Google OAuth não podem mudar para a autenticação por senha, mesmo se o OAuth estiver desativado para a instância do Looker.

Requisitos preliminares

O uso do Google OAuth requer o seguinte:

  • Uma conta do Google Workspace para a organização.

    A configuração da Conta do Google do usuário precisa incluir um nome e um sobrenome. Se o usuário tiver excluído o nome ou o sobrenome da Conta do Google, isso poderá impedir que o Looker autentique o usuário com o Google OAuth. Consulte a seção Dicas para mais informações.

  • Um domínio controlado pela organização e registrado na conta do Google Workspace.

  • Usuários com endereços de e-mail no domínio associado à Conta do Google.

Ativar a autenticação com o OAuth do Google

Para ativar a autenticação com o OAuth do Google, é preciso que um administrador execute etapas tanto do Google quanto do Looker, conforme descrito nas seções a seguir.

Configuração no lado do Google

As etapas para ativar o OAuth do Google são descritas abaixo. A descrição genérica dessas etapas está na página de suporte do Google sobre como configurar o OAuth 2.0. É possível encontrar a documentação no Google Dev Console na página da Ajuda do Console do Google Cloud.

  1. Acesse o Console do Google Cloud.

  2. Clique na seta para baixo na lista suspensa Selecionar um projeto. Você pode ver o nome de um projeto na lista suspensa e clicar na seta para baixo para ver a opção de criar um novo projeto.

  3. Na página Selecionar um projeto, clique em Novo projeto.

    O Google exibe a página Novo projeto.

  4. Preencha as informações na página Novo projeto e clique em Criar.

    Quando o Google terminar de criar o projeto, ele retornará ao Console do Google Cloud e mostrará o novo projeto.

  5. No menu à esquerda, selecione APIs & Services > credenciais.

  6. Na página Credenciais, clique no botão Criar credenciais e selecione ID do cliente OAuth no menu suspenso.

    O Google exibe a página Criar ID do cliente OAuth.

  7. O Google exige que você configure uma tela de permissão OAuth, que permite que os usuários escolham como conceder acesso aos dados particulares e fornece um link para os Termos de Serviço e a Política de Privacidade da sua organização. Clique em Configurar tela de consentimento. Se você tiver configurado o consentimento do OAuth para um projeto anterior, não verá essa opção, e poderá pular para a etapa 13.

    O Google exibe a página Tela de permissão OAuth.

  8. Digite o domínio da instância do Looker no campo Domínios autorizados. Por exemplo, se o Looker hospedar sua instância em https://mycompany.looker.com, o domínio será looker.com. Para implantações do Looker hospedadas pelo cliente, insira o domínio no qual você hospeda o Looker.

  9. Configure a tela de permissão OAuth e clique em Salvar e continuar.

    Para saber como configurar a tela de permissão OAuth do Google, consulte a página de suporte do Google Configurar o OAuth 2.0.

  10. Na página Escopos, clique em Salvar e continuar. Nenhuma configuração adicional de escopo é necessária.

  11. Na página Resumo, clique em Voltar para o painel.

    O Google retorna à página Criar ID do cliente OAuth.

  12. Em Tipo de aplicativo, selecione Aplicativo da Web.

  13. No campo Nome, digite um nome para seu ID do cliente OAuth.

  14. No campo Origens JavaScript autorizadas, insira o URL da sua instância do Looker, incluindo https://. Exemplo:

    • Se o Looker hospedar sua instância: https://mycompany.looker.com
    • Se você tiver uma instância do Looker hospedada pelo cliente: https://looker.mycompany.com
    • Se a instância do Looker exigir um número de porta: https://looker.mycompany.com:9999

  15. No campo URIs de redirecionamento autorizados, insira o URL da sua instância do Looker, seguido de /oauth2callback. Por exemplo, https://mycompany.looker.com/oauth2callback ou https://looker.mycompany.com:9999/oauth2callback.

  16. Clique em Criar.

  17. Copie os valores de ID do cliente e chave secreta do cliente. Você vai precisar deles para configurar o Looker.

Configuração no Looker

Veja abaixo as etapas para ativar o Google OAuth no Looker.

  1. No aplicativo Looker, após fazer login como administrador, clique no menu suspenso Administrador para abrir o menu Administrador.

  2. No grupo Authentication, clique em Google. O Looker mostra a página do Google Authentication:

  3. Clique em Ativado para exibir e editar as configurações do Google OAuth. Isso não ativa imediatamente a autenticação do Google. É necessário confirmar sua escolha mais tarde.

  4. Insira suas configurações do Google Auth:

    • ID do cliente e chave secreta do cliente: copie e cole esses valores da página Cliente OAuth do Google, conforme discutido nas instruções de configuração do Google acima.
    • Domínios: os nomes de domínio gerenciados pelo Google da sua organização. Qualquer usuário do Google no domínio especificado pode fazer login na sua instância do Looker. Se você controla vários domínios do Google, insira-os separados por vírgulas.

    AVISO:só insira os domínios do Google controlados pela sua organização. A inserção de qualquer outro domínio pode dar acesso aos usuários de um domínio que você não controla.

  5. Insira as Opções de migração, que controlam o comportamento da instância do Looker durante a transição para o Google OAuth:

    • Login alternativo para administradores: permite que os administradores continuem a fazer login com e-mail e senha, o que é uma alternativa útil em caso de problemas na configuração do Google OAuth. Essa configuração é recomendada e está descrita mais adiante abaixo.
    • Mesclagem por e-mail: converte qualquer usuário existente com endereço de e-mail em Domínios para usar o Google OAuth no próximo login. Esta configuração é recomendada.
    • Funções para novos usuários: especifica a funcionalidade e o acesso aos modelos que novos usuários que não são administradores têm. Essa lista pode ser atualizada mais tarde. Se deixado em branco, os novos usuários autenticados pelo Google terão funcionalidade limitada na plataforma Looker até que um administrador adicione um papel à conta. Como todos os usuários no seu domínio do Google poderão fazer login no Looker, considere especificar um papel padrão para novos usuários que limite o acesso de maneira apropriada.

  6. Clique em Testar a autenticação do Google para usar as configurações atuais e tente autenticar o navegador atual em uma nova janela. Essa ação não salva as configurações atuais nem as aplica à instância do Looker.

    Se você não tiver feito login no Google, precisará fazer login e pedirá consentimento para usar as informações da sua Conta do Google. Esse fluxo usa as configurações personalizadas da Tela de consentimento que você usou na configuração do lado do Google.

    Após a conclusão, a seção Informações do usuário será exibida com seu nome, e-mail, domínio etc. A presença desta seção Informações do usuário mostra que esse usuário será autenticado pelo Looker.

    Após a falha, as descrições de erro serão exibidas. Veja alguns problemas comuns:

    • ID do cliente ou chave secreta do cliente protegida. Eles precisam ser copiados e colados completamente.
    • O usuário está fora do domínio. Se a seção Informações da pessoa for exibida, mas nenhuma Informações do usuário, provavelmente o usuário não está no domínio especificado. Isso mostra que a pessoa fez a autenticação no Google corretamente, mas não está usando uma Conta do Google que você escolheu permitir na sua instância do Looker.
    • O URL do Looker e/ou o URL de redirecionamento não estão configurados corretamente no Google para seu Looker.

  7. Para salvar e aplicar mudanças, marque Confirmei a configuração acima e queira ativá-la globalmente. Clique em Atualizar.

Depois que você ativar a autenticação do Google, os usuários poderão fazer a autenticação somente pelo Google OAuth. Se você não tiver ativado a configuração Merge by email para as contas atuais, cada novo login autenticado pelo Google criará um novo usuário do Looker. Os logins com e-mail/senha existentes não podem ser usados ao mesmo tempo que a autenticação do Google está ativada.

Dicas

  • Para testar todo o ciclo de autenticação, saia do Google e veja que o Google solicita que você faça login novamente quando tentar fazer login no Looker.

  • No Google, clique em Conta no menu suspenso pessoal (ao lado do seu endereço de e-mail, no canto superior direito de uma página do Google Workspace) para gerenciar sua conta pessoal.

    Nessa página, você encontra a guia Segurança com a seção Permissões da conta. Clique em Apps e sites Ver tudo para ver e gerenciar (como usuário) os serviços e apps a que você concedeu permissões.

    Clique nas permissões do Looker que você concedeu para fazer login para ver os detalhes que os usuários veem na tela de consentimento que você personalizou acima. Você também pode clicar em Revogar acesso para que, na próxima vez que você fizer login no Looker (ou na autorização de teste), seja exibida uma nova solicitação na tela de consentimento. Use esse fluxo de trabalho para personalizar a tela de consentimento e ver o que os usuários vão ver.

  • Se um usuário não conseguir fazer login, mas não receber uma mensagem de erro, talvez ele tenha editado o nome da conta do Google Workspace e excluído o nome ou o sobrenome. Nesse caso, talvez o nome da conta do Google Workspace ainda esteja completo no Admin Console, o que talvez não mostre as edições do usuário. Para evitar esse problema, os administradores do Google Workspace podem desativar a opção Permitir que os usuários personalizem esta configuração.

Como ativar logins por e-mail com o Google Auth ativado

As novas Contas do Google têm acesso automático ao Looker. Portanto, não é necessário adicionar usuários que estejam no seu domínio do Google.

Para adicionar um usuário por um endereço de e-mail que não esteja no seu domínio do Google:

  1. Ativar a opção Login alternativo para administradores e usuários especificados na página do Google Auth
  2. Crie ou modifique uma função do usuário existente para adicionar a permissão login_special_email
  3. Acesse Adicionar usuários no painel (/admin/users/new).
  4. Adicione os endereços de e-mail que você quer incluir e os papéis que esses usuários precisam ter, o que precisa incluir um papel com a permissão login_special_email
  5. Agora esses usuários podem fazer login em https://mycompany.looker.com/login/email (URL oculto)

Para ativar logins alternativos usando a API Looker, consulte a página de documentação Como ativar a opção de login alternativo.

Desativar o Google Auth após ter sido ativado

Se você quiser desativar a autenticação do Google para sua instância do Looker depois de já ter sido ativada, considere o seguinte:

  • Os usuários criados antes da autenticação do Google e já tiverem configurado uma senha e um login de e-mail normais continuarão funcionando.
  • Os usuários criados após a adição da autenticação do Google não poderão mais fazer login. As contas ainda existem, mas eles não têm como acessá-las e as contas são órfãs.

Por isso, no momento, sugerimos que você evite esse trajeto. Se você precisar seguir esse caminho, talvez haja um método para corrigir as contas órfãs usando a API Looker. Entre em contato com o suporte do Looker para mais orientações.