Authentifizierung mit Google

Auf der Seite Google-Authentifizierung im Abschnitt Authentifizierung des Menüs Admin können Sie Google OAuth auf der Looker-Seite einrichten.

Features

Bei Bedarf kann Looker für Nutzer mit Konten, die bei Google Workspace registriert sind, eine Authentifizierung über Google OAuth durchführen.

  • Organisationen, die Google Workspace verwenden, können Looker-Nutzer über Google-Konten authentifizieren.
  • Nutzer melden sich bei Looker an, indem sie sich mit ihrem Google-Konto authentifizieren.
  • Neue Google-Konten erhalten automatisch Zugriff auf Looker. Sie müssen Nutzer nicht separat zu Looker einladen. Sie legen die Standardrolle für neue Nutzer fest, wodurch der Zugriff auf Funktionen und Daten eingeschränkt werden kann.
  • Wenn diese Option aktiviert ist, authentifiziert Looker Nutzer nur mit Google OAuth, es sei denn die Option „Alternative Anmeldung“ ist ausgewählt. Weitere Informationen finden Sie unten.

Der Google-Avatar eines Nutzers wird in der Navigationsleiste anstelle des Standardnutzersymbols angezeigt:

Die folgenden Verhaltensweisen können sich auf Ihre Entscheidung zur Verwendung von Google OAuth auswirken:

  • Beim Aktivieren von Google OAuth kann die Looker-Instanz vorhandene Nutzerkonten mit der bei Google registrierten Domain zusammenführen, aber nur für Konten, deren E-Mail-Adresse mit der Domain übereinstimmt. Alle anderen Konten ohne Administratorberechtigung können sich dann nicht mehr anmelden.
  • Alle Nutzer in der angegebenen Domain erhalten Zugriff auf die Looker-Instanz.
  • Berechtigungen für neue Google-Nutzer sind standardmäßig für eine bestimmte Liste von Modellen grundlegender Zugriff (optional, jedoch ohne Zugriff). Berechtigungen können nach der Kontoerstellung von einem Administrator aktualisiert werden.
  • Neue Looker-Konten, die sich über Google OAuth authentifizieren, können nicht zur Passwortauthentifizierung wechseln, auch wenn OAuth für die Looker-Instanz deaktiviert ist.

Vorläufige Anforderungen

Für die Verwendung von Google OAuth ist Folgendes erforderlich:

  • Ein Google Workspace-Konto für die Organisation

    Die Google-Kontokonfiguration des Nutzers muss sowohl einen Vor- als auch einen Nachnamen enthalten. Wenn der Nutzer seinen Vor- oder Nachnamen aus seinem Google-Konto gelöscht hat, kann Looker den Nutzer möglicherweise nicht mit Google OAuth authentifizieren. Weitere Informationen finden Sie im Abschnitt Tipps.

  • Eine Domain, die von der Organisation kontrolliert und im Google Workspace-Konto registriert wird.

  • Nutzer mit E-Mail-Adressen in der Domain, die mit dem Google-Konto verknüpft ist

Authentifizierung mit Google OAuth aktivieren

Für die Aktivierung der Authentifizierung mit Google OAuth muss ein Administrator sowohl auf Google-Seite als auch auf der Looker-Seite Schritte ausführen, wie in den folgenden Abschnitten beschrieben.

Einrichtung auf Google-Seite

Die Schritte zum Aktivieren von Google OAuth auf Google-Seite werden unten beschrieben. Eine allgemeine Beschreibung dieser Schritte finden Sie auf der Google-Supportseite zum Einrichten von OAuth 2.0. Die Dokumentation zur Google Dev Console finden Sie in der Google Cloud Console-Hilfe.

  1. Öffnen Sie die Google Cloud Console.

  2. Klicken Sie im Drop-down-Menü Projekt auswählen auf den Abwärtspfeil. Möglicherweise sehen Sie im Drop-down-Menü den Namen eines vorhandenen Projekts. Klicken Sie trotzdem auf den Abwärtspfeil, um die Option zum Erstellen eines neuen Projekts aufzurufen.

  3. Klicken Sie auf der Seite Projekt auswählen auf Neues Projekt.

    Die Seite Neues Projekt wird von Google angezeigt.

  4. Machen Sie die erforderlichen Angaben auf der Seite Neues Projekt und klicken Sie auf Erstellen.

    Wenn Google das neue Projekt erstellt hat, kehrt Google zur Google Cloud Console zurück und zeigt das neue Projekt an.

  5. Wähle im Menü auf der linken Seite APIs & Dienste; Anmeldedaten aus.

  6. Klicken Sie auf der Seite Anmeldedaten auf die Schaltfläche Anmeldedaten erstellen und wählen Sie im Drop-down-Menü OAuth-Client-ID aus.

    Die Seite OAuth-Client-ID erstellen wird angezeigt.

  7. Google verlangt, dass Sie einen OAuth-Zustimmungsbildschirm konfigurieren, über den Ihre Nutzer entscheiden können, wie sie auf ihre privaten Daten zugreifen dürfen. Außerdem enthält sie einen Link zu den Nutzungsbedingungen und der Datenschutzerklärung Ihrer Organisation. Klicken Sie auf Zustimmungsbildschirm konfigurieren. Wenn Sie die OAuth-Zustimmung für ein vorheriges Projekt konfiguriert haben, wird diese Option nicht angezeigt. Sie können dann mit Schritt 13 fortfahren.

    Die Seite OAuth-Zustimmungsbildschirm wird angezeigt.

  8. Geben Sie die Domain der Looker-Instanz in das Feld Autorisierte Domains ein. Wenn beispielsweise Looker Ihre Instanz unter https://mycompany.looker.com hostet, lautet die Domain looker.com. Geben Sie bei von Kunden gehosteten Looker-Bereitstellungen die Domain ein, auf der Sie Looker hosten.

  9. Konfigurieren Sie den OAuth-Zustimmungsbildschirm und klicken Sie auf Speichern und fortfahren.

    Informationen zum Konfigurieren des OAuth-Zustimmungsbildschirms von Google finden Sie auf der Google-Supportseite zum Einrichten von OAuth 2.0.

  10. Klicken Sie auf der Seite Umfang auf Speichern und fortfahren. Es ist keine zusätzliche Bereichskonfiguration erforderlich.

  11. Klicken Sie auf der Seite Zusammenfassung auf Zurück zum Dashboard.

    Google kehrt zur Seite OAuth-Client-ID erstellen zurück.

  12. Wählen Sie unter Anwendungstyp die Option Webanwendung aus.

  13. Geben Sie im Feld Name einen Namen für Ihre OAuth-Client-ID ein.

  14. Geben Sie im Feld Autorisierte JavaScript-Quellen die URL zu Ihrer Looker-Instanz ein, einschließlich https://. Beispiel:

    • Wenn Looker Ihre Instanz hostet: https://mycompany.looker.com
    • Wenn Sie eine vom Kunden gehostete Looker-Instanz haben: https://looker.mycompany.com
    • Wenn für Ihre Looker-Instanz eine Portnummer erforderlich ist: https://looker.mycompany.com:9999

  15. Geben Sie im Feld Autorisierte Weiterleitungs-URIs die URL zu Ihrer Looker-Instanz gefolgt von /oauth2callback ein. Beispiel: https://mycompany.looker.com/oauth2callback oder https://looker.mycompany.com:9999/oauth2callback.

  16. Klicken Sie auf Erstellen.

  17. Kopieren Sie die Werte für die Client-ID und den Clientschlüssel. Sie benötigen sie zum Konfigurieren von Looker.

Einrichtung auf der Looker-Seite

So aktivieren Sie Google OAuth auf der Looker-Seite:

  1. Melden Sie sich in der Looker-Anwendung an und klicken Sie auf das Drop-down-Menü Admin, um das Menü Admin zu öffnen.

  2. Klicken Sie unter der Gruppe Authentifizierung auf Google. Looker zeigt die Seite Google-Authentifizierung an:

  3. Klicken Sie auf Aktiviert, um die Google OAuth-Einstellungen aufzurufen und zu bearbeiten. Dadurch wird die Google-Authentifizierung nicht sofort aktiviert. Sie müssen Ihre Auswahl später bestätigen.

  4. Geben Sie die Google Auth-Einstellungen ein:

    • Client-ID und Clientschlüssel: Kopieren Sie diese Werte und fügen Sie sie von der Seite OAuth-Client von Google wie oben in der Einrichtungsanleitung beschrieben ein.
    • Domains: Der oder die von Google verwalteten Domainnamen Jeder Google-Nutzer in der angegebenen Domain kann sich bei Ihrer Looker-Instanz anmelden. Wenn Sie mehrere Google-Domains verwalten, können Sie diese durch Kommas getrennt eingeben.

    WARNUNG:Geben Sie nur von Ihrer Organisation kontrollierte Google-Domains ein. Wenn Sie eine andere Domain eingeben, wird Nutzern, deren Inhaber Sie nicht sind, der Zugriff gewährt.

  5. Geben Sie Migrationsoptionen ein. Damit wird das Verhalten der Looker-Instanz während der Umstellung auf Google OAuth gesteuert:

    • Alternative Anmeldung für Administratoren: Administratoren können damit die Anmeldung mit E-Mail-Adresse und Passwort fortsetzen. Diese Funktion ist nützlich, wenn bei der Einrichtung von Google OAuth Probleme auftreten. Diese Einstellung wird empfohlen und wird unten genauer beschrieben.
    • Zusammenführung per E-Mail: Wandelt vorhandene Nutzer mit E-Mail-Adressen in den Domains bei der nächsten Anmeldung in Google OAuth um. Diese Einstellung wird empfohlen.
    • Rollen für neue Nutzer: Gibt die Funktionen und den Modellzugriff für neue Nutzer ohne Administratorberechtigungen an. Diese Liste kann später aktualisiert werden. Wenn Sie das Feld leer lassen, haben neue von Google authentifizierte Nutzer nur eingeschränkte Funktionen auf der Looker-Plattform, bis ein Administrator ihrem Konto eine Rolle hinzufügt. Da sich alle Nutzer in Ihrer Google-Domain in Looker anmelden können, sollten Sie eine Standardrolle für neue Nutzer festlegen, die den Zugriff entsprechend beschränkt.

  6. Klicken Sie auf Google Authentication testen, um die aktuellen Einstellungen zu verwenden und zu versuchen, den aktuellen Browser in einem neuen Fenster zu authentifizieren. Durch diese Aktion werden die aktuellen Einstellungen nicht gespeichert oder auf die Looker-Instanz angewendet.

    Wenn Sie nicht in Google angemeldet sind, werden Sie aufgefordert, sich anzumelden und um Ihre Einwilligung zur Verwendung Ihrer Google-Kontoinformationen zu bitten. Bei diesem Vorgang werden die benutzerdefinierten Einstellungen für den Zustimmungsbildschirm verwendet, die Sie bei der Einrichtung auf Google-Seite verwendet haben.

    Wenn der Vorgang erfolgreich war, wird der Bereich Nutzerinformationen mit Ihrem Namen, Ihrer E-Mail-Adresse, Ihrer Domain usw. angezeigt. Das Vorhandensein dieses Abschnitts Nutzerinformationen zeigt an, dass dieser Nutzer erfolgreich von Looker authentifiziert werden würde.

    Bei einem Fehler werden Fehlerbeschreibungen angezeigt. Im Folgenden sind einige häufige Probleme aufgeführt:

    • Falsch kopierte Client-ID oder geheimer Clientschlüssel. Diese müssen sorgfältig kopiert und vollständig eingefügt werden.
    • Nutzer ist außerhalb der Domain. Wenn der Bereich Nutzerinformationen, aber keine Nutzerinformationen angezeigt wird, liegt das wahrscheinlich daran, dass sich der Nutzer nicht in der von Ihnen angegebenen Domain befindet. Dies zeigt, dass sich die Person korrekt bei Google authentifiziert hat, aber kein Google-Konto verwendet, das Sie in Ihrer Looker-Instanz zugelassen haben.
    • Looker-URL und/oder Weiterleitungs-URL für Google Looker sind in Google nicht richtig eingerichtet.

  7. Wenn Sie Änderungen speichern und übernehmen möchten, klicken Sie auf das Kästchen Ich habe die obige Konfiguration bestätigt und möchte sie weltweit aktivieren. Klicken Sie auf Aktualisieren.

Nach der Aktivierung der Google-Authentifizierung können sich Nutzer nur über Google OAuth authentifizieren. Wenn Sie die Einstellung Per E-Mail zusammenführen für vorhandene Konten nicht aktiviert haben, wird bei jeder neuen von Google authentifizierten Anmeldung ein neuer Looker-Nutzer erstellt. Bestehende E-Mail-/Passwort-Anmeldungen können nicht gleichzeitig verwendet werden, wenn die Google-Authentifizierung aktiviert ist.

Tipps

  • Wenn Sie mit dem vollständigen Authentifizierungszyklus experimentieren möchten, können Sie sich von Google abmelden und sehen, dass Sie bei Google wieder aufgefordert werden, sich bei Looker anzumelden.

  • In Google können Sie Ihr privates Konto verwalten, indem Sie auf der Google Workspace-Seite rechts oben neben Ihrer E-Mail-Adresse auf Konto klicken.

    Auf dieser Seite gibt es den Tab Sicherheit mit dem Bereich Kontoberechtigungen. Wenn Sie auf Apps und Websites Alle ansehen klicken, können Sie als Nutzer die Dienste und Apps sehen und verwalten, denen Sie Berechtigungen gewährt haben.

    Wenn Sie auf die Looker-Berechtigungen klicken, die Sie zum Anmelden gewährt haben, werden die Details angezeigt, die Nutzer auf dem von Ihnen angepassten Zustimmungsbildschirm sehen. Sie können auch auf Zugriff entziehen klicken, damit Sie bei der nächsten Anmeldung in Looker (oder einer Testautorisierung) neu aufgefordert werden, den Zustimmungsbildschirm aufzurufen. Mithilfe dieses Workflows können Sie Ihren Zustimmungsbildschirm anpassen und sehen, was Nutzer sehen.

  • Wenn sich ein Nutzer nicht anmelden kann, aber keine Fehlermeldung erhält, hat er möglicherweise den Namen seines Google Workspace-Kontos bearbeitet und seinen Vor- oder Nachnamen gelöscht. In diesem Fall kann es vorkommen, dass der Name des Google Workspace-Kontos in der Admin-Konsole noch nicht vollständig angezeigt wird. Um das zu verhindern, können Google Workspace-Administratoren die Option Nutzern erlauben, diese Einstellung anzupassen deaktivieren.

E-Mail-Anmeldungen bei aktiviertem Google Auth aktivieren

Neue Google-Konten erhalten automatisch Zugriff auf Looker. Sie müssen also keine Nutzer in Ihrer Google-Domain hinzufügen.

So fügen Sie einen Nutzer über eine E-Mail-Adresse hinzu, die sich nicht in Ihrer Google-Domain befindet:

  1. Aktivieren Sie auf der Google-Authentifizierungsseite die Option Alternative Anmeldung für Administratoren und bestimmte Nutzer.
  2. Erstellen oder ändern Sie eine vorhandene Nutzerrolle, um die Berechtigung login_special_email hinzuzufügen
  3. Klicken Sie im Steuerfeld „Nutzer“ auf Nutzer hinzufügen (/admin/users/new).
  4. Fügen Sie die E-Mail-Adresse(n) hinzu, die Sie hinzufügen möchten, sowie die Rollen, die diese Nutzer haben sollen. Sie müssen eine Rolle mit der Berechtigung login_special_email enthalten.
  5. Diese Nutzer können sich jetzt über https://mycompany.looker.com/login/email (versteckte URL) anmelden

Wie Sie alternative Anmeldungen über die Looker API aktivieren, erfahren Sie auf der Dokumentationsseite Alternative Anmeldeoption aktivieren.

Google Auth nach der Aktivierung deaktivieren

Wenn Sie die Google-Authentifizierung für Ihre Looker-Instanz deaktivieren möchten, nachdem sie bereits aktiviert wurde, sollten Sie Folgendes bedenken:

  • Nutzer, die vor dem Hinzufügen der Google-Authentifizierung erstellt wurden und bereits ein normales E-Mail-Log-in und -Passwort eingerichtet haben, funktionieren weiterhin.
  • Nutzer, die nach Hinzufügen von Google Authentication erstellt wurden, können sich nicht mehr anmelden. Sie sind zwar weiterhin vorhanden, können aber nicht mehr darauf zugreifen und sind verwaisen.

Deshalb empfehlen wir, diese Route derzeit zu umgehen. Wenn Sie diesen Pfad hinuntergehen müssen, gibt es möglicherweise eine Methode, um die verwaisten Konten mithilfe der Looker API zu korrigieren. Wenden Sie sich an den Looker-Support, um weitere Unterstützung zu erhalten.