Autenticación de Google

La página Autenticación de Google en la sección Autenticación del menú Administrador le permite configurar Google OAuth en Looker.

Descripción general de las funciones

Si lo desea, Looker puede realizar la autenticación mediante Google OAuth para los usuarios que tengan cuentas registradas en Google Workspace.

• Las organizaciones que usan Google Workspace pueden autenticar a los usuarios de Looker mediante Cuentas de Google.
• Los usuarios acceden a Looker mediante la autenticación con su Cuenta de Google.
• Las Cuentas de Google nuevas obtienen acceso a Looker automáticamente. No es necesario invitar a los usuarios por separado a Looker. Usted establece la función predeterminada para los usuarios nuevos, lo que puede limitar su acceso a la funcionalidad y los datos.
• Cuando está habilitado, Looker autentica a los usuarios solo con Google OAuth a menos que esté seleccionada la opción de acceso alternativo (consulte las instrucciones adicionales a continuación).

El avatar de un usuario de Google aparece en la barra de navegación en lugar del símbolo estándar del usuario:

Los siguientes comportamientos pueden afectar tu decisión de usar OAuth de Google:

• Cuando se habilita Google OAuth, la instancia de Looker puede combinar cuentas de usuario existentes con el dominio registrado por Google, pero solo para cuentas cuya dirección de correo electrónico coincida con el dominio. Las demás cuentas que no sean de administrador perderán la capacidad de acceder.
• Todos los usuarios del dominio especificado obtienen acceso a la instancia de Looker.
• Los permisos para los usuarios nuevos de Google se establecen de forma predeterminada en el acceso básico a una lista de modelos especificada (que puede ser, de manera opcional, acceso a cero modelos). Un administrador puede actualizar los permisos después de crear la cuenta.
• Las cuentas de Looker nuevas que se autentiquen mediante Google OAuth no pueden cambiar a la autenticación con contraseña, incluso si OAuth está inhabilitado para la instancia de Looker.

Requisitos preliminares

Para usar Google OAuth, se requiere lo siguiente:

• Una cuenta de Google Workspace para la organización

  La configuración de la cuenta de Google del usuario debe incluir un nombre y un apellido. Si el usuario borró su nombre o apellido de su Cuenta de Google, esto puede evitar que Looker autentique el usuario con Google OAuth. Consulta la sección Sugerencias para obtener más información.

• Un dominio controlado por la organización y registrado en la cuenta de Google Workspace.

• Usuarios con direcciones de correo electrónico en el dominio asociado a la Cuenta de Google

Habilita la autenticación con Google OAuth

La habilitación de la autenticación con Google OAuth requiere que un administrador realice los pasos de Google y de Looker, como se describe en las siguientes secciones.

Configuración de Google

A continuación, se describen los pasos para habilitar Google OAuth en Google. La descripción genérica de estos pasos se encuentra en la página de Atención al cliente de Google sobre cómo configurar OAuth 2.0. Puedes encontrar documentación sobre Google Dev Console en la página de Ayuda de Google Cloud Console.

1. Ve a Google Cloud Console.

2. Haz clic en la flecha hacia abajo en el menú desplegable Selecciona un proyecto. Es posible que vea el nombre de un proyecto existente en el menú desplegable. Haga clic en la flecha hacia abajo de todos modos y se lo dirigirá a la opción para crear un proyecto nuevo.

3. En la página Seleccionar un proyecto, haz clic en Proyecto nuevo.

   Google muestra la página Proyecto nuevo.

4. Completa la información en la página New Project (Proyecto nuevo) y haz clic en Create (Crear).

   Cuando Google termina de crear tu proyecto nuevo, regresa a Google Cloud Console y muestra tu proyecto nuevo.

5. En el menú de la izquierda, selecciona API &Services > Credentials.

6. En la página Credenciales, haz clic en el botón Crear credenciales y selecciona ID de cliente de OAuth en el menú desplegable.

   Google muestra la página Crear ID de cliente de OAuth.

7. Google requiere que configures una pantalla de consentimiento de OAuth, que le permite a los usuarios elegir cómo otorgar acceso a sus datos privados y proporciona un vínculo a las Condiciones del Servicio y la Política de Privacidad de tu organización. Haz clic en Configurar pantalla de consentimiento. (Si configuraste el consentimiento de OAuth para un proyecto anterior, no verás esta opción y puedes continuar con el paso 13).

   Google muestra la página de la pantalla de consentimiento de OAuth.

8. Ingresa el dominio de tu instancia de Looker en el campo Dominios autorizados. Por ejemplo, si Looker aloja tu instancia en https://mycompany.looker.com, el dominio es looker.com. Para las implementaciones de Looker alojadas por el cliente, ingresa el dominio en el que alojas Looker.

   

9. Configura tu pantalla de consentimiento de OAuth y haz clic en Guardar y continuar.

   Para obtener información sobre cómo configurar la pantalla de consentimiento de OAuth de Google, consulta la página Configuración de OAuth 2.0 de la Atención al cliente de Google.

10. En la página Alcances, haz clic en Guardar y continuar. No se requiere una configuración de alcance adicional.

11. En la página Resumen, haga clic en Volver al panel.

    Google regresa a la página Crear ID de cliente de OAuth.

12. En Tipo de aplicación, selecciona Aplicación web.

13. En el campo Nombre, ingresa un nombre para tu ID de cliente de OAuth.

14. En el campo Orígenes autorizados de JavaScript, ingresa la URL de tu instancia de Looker, incluida la https://. Por ejemplo:

    • Si Looker aloja tu instancia: https://mycompany.looker.com
    • Si tienes una instancia de Looker alojada por el cliente: https://looker.mycompany.com
    • Si tu instancia de Looker requiere un número de puerto: https://looker.mycompany.com:9999

15. En el campo URI de redireccionamiento autorizado, ingresa la URL de tu instancia de Looker seguida de /oauth2callback. Por ejemplo: https://mycompany.looker.com/oauth2callback o https://looker.mycompany.com:9999/oauth2callback.

16. Haz clic en Crear.

17. Copie su ID de cliente y los valores de su secreto del cliente; los necesitará para configurar Looker.

Configuración en Looker

A continuación, se indican los pasos para habilitar Google OAuth en Looker.

1. Desde la aplicación de Looker, luego de acceder como administrador, haga clic en el menú desplegable Admin para abrir el menú Admin.

2. En el grupo Autenticación, haz clic en Google. Looker muestra la página Autenticación de Google:

   

3. Haz clic en Habilitado para mostrar y editar la configuración de Google OAuth. (Esto no habilita inmediatamente la autenticación de Google; debes confirmar tu elección más adelante).

4. Ingresa tu configuración de autenticación de Google:

   

   • ID de cliente y secreto de cliente: Copia y pega estos valores desde la página del cliente OAuth de Google, como se explica en las instrucciones de configuración de Google.
   • Dominios: los nombres de dominio administrados por Google de tu organización. Cualquier usuario de Google en el dominio dado puede acceder a tu instancia de Looker. Si controlas varios dominios de Google, puedes ingresarlos separados por comas.

   ADVERTENCIA: Solo ingresa los dominios de Google que controla tu organización. Si ingresa cualquier otro dominio, podría abrirse el acceso a los usuarios de un dominio que usted no controla.

5. Ingresa las Opciones de migración, que controlan el comportamiento de la instancia de Looker durante la transición a Google OAuth:

   

   • Acceso alternativo para administradores: Permite que los administradores continúen accediendo con correo electrónico y contraseña, lo cual es una opción útil en caso de tener problemas para configurar Google OAuth. Se recomienda esta configuración, que se describe más adelante a continuación.
   • Combinar por correo electrónico: Convierte los usuarios existentes con direcciones de correo electrónico en los dominios especificados para que usen Google OAuth en su próximo acceso. Se recomienda esta configuración.
   • Funciones para usuarios nuevos: Especifica la funcionalidad y el acceso a modelos que tienen los usuarios nuevos que no son administradores. Esta lista se puede actualizar más adelante. Si se dejan en blanco, los usuarios nuevos autenticados por Google tendrán funcionalidad limitada dentro de la plataforma de Looker hasta que un administrador agregue una función a su cuenta. Dado que todos los usuarios de su dominio de Google podrán acceder a Looker, considere especificar una función predeterminada para los usuarios nuevos que limite el acceso de forma adecuada.

6. Haga clic en Probar autenticación de Google para utilizar la configuración actual e intentar autenticar el navegador actual en una ventana nueva. Esta acción no guarda la configuración actual ni la aplica a la instancia de Looker.

   

   Si no accediste a Google, se te solicitará que lo hagas y se te solicitará consentimiento para usar la información de la cuenta de Google. Este flujo usa la configuración personalizada de la pantalla de consentimiento que usó en la configuración del lado de Google.

   Si se realiza de forma correcta, se mostrará la sección Información del usuario con su nombre, correo electrónico, dominio, etc. La presencia de esta sección de Información del usuario muestra que Looker autenticará correctamente a este usuario.

   

   En caso de error, aparecen descripciones de errores. A continuación, se indican algunos problemas comunes:

   • ID de cliente o secreto de cliente copiados Deben copiarse y pegarse con cuidado.
   • El usuario está fuera del dominio. Si ves una sección Información de la persona, pero no una Información del usuario, probablemente se deba a que el usuario no está en el dominio que especificaste. Esto muestra que la persona se autenticó correctamente en Google, pero no está usando una Cuenta de Google que tú hayas elegido permitir en tu instancia de Looker.
   • La URL de Looker o la URL de redireccionamiento no están configuradas correctamente en Google para Looker.

7. Para guardar y aplicar cambios, marque la opción Confirmé la configuración anterior y deseo habilitarla en todo el mundo. Haz clic en Actualizar.

Después de habilitar la autenticación de Google, los usuarios pueden autenticarse solo a través de Google OAuth. Si no habilitaste la configuración Combinar por correo electrónico para las cuentas existentes, cada nuevo acceso autenticado por Google crea un nuevo usuario de Looker. Los accesos de correo electrónico y contraseña existentes no se pueden utilizar al mismo tiempo que la autenticación de Google está habilitada.

Sugerencias

• Para experimentar con el ciclo de autenticación completo, puede salir de Google y ver que Google le indica que vuelva a acceder cuando intente acceder a Looker.

• En Google, puede hacer clic en Cuenta en el menú desplegable personal (junto a su dirección de correo electrónico en la parte superior derecha de una página de Google Workspace) para administrar su cuenta personal.

  En esa página de administración, hay una pestaña Seguridad con la sección Permisos de la cuenta. Si hace clic en Aplicaciones y sitios web Ver todo, como usuario, podrá ver y administrar los servicios y las aplicaciones a los que les haya otorgado permisos.

  Si haces clic en los permisos de Looker que otorgaste para acceder, se muestran los detalles que los usuarios ven en la pantalla de consentimiento que personalizaste arriba. También puede hacer clic en Revocar acceso para que la próxima vez que acceda a Looker (o a la autorización de prueba), se le vuelva a solicitar que aparezca la pantalla de consentimiento. Puedes usar este flujo de trabajo para personalizar tu pantalla de consentimiento y ver lo que verán los usuarios.

• Si un usuario no puede acceder, pero no recibe un mensaje de error, es posible que haya editado el nombre de su cuenta de Google Workspace y borrado su nombre o apellido. En este caso, es posible que el nombre de la cuenta de Google Workspace aún esté completo en la Consola del administrador, por lo que es posible que no se muestren las ediciones del usuario. Para evitar este problema, los administradores de Google Workspace pueden inhabilitar la opción Permitir que los usuarios personalicen este parámetro de configuración.

Habilitar el acceso de correo electrónico mientras la autenticación de Google está habilitada

Las cuentas de Google nuevas obtienen acceso a Looker automáticamente, por lo que no es necesario agregar usuarios que estén en tu dominio de Google.

Para agregar un usuario a través de una dirección de correo electrónico que no esté en su dominio de Google:

1. Habilita la opción Acceso alternativo para administradores y usuarios específicos en la página de Google Auth
2. Crea o modifica una función del usuario existente para agregar el permiso login_special_email
3. Vaya a Agregar usuarios en el panel de usuarios (/admin/users/new).
4. Agrega las direcciones de correo electrónico que deseas incluir y las funciones que deberían tener los usuarios, que deben incluir una función con el permiso login_special_email.
5. Esos usuarios ahora pueden acceder a través de https://mycompany.looker.com/login/email (URL oculta)

Para habilitar accesos alternativos con la API de Looker, consulta la página de documentación Habilita la opción de acceso alternativo.

Inhabilitación de Google Auth una vez que se ha habilitado

Si deseas inhabilitar la autenticación de Google para tu instancia de Looker después de haberla habilitado, debes tener en cuenta lo siguiente:

• Los usuarios que se crearon antes de que se agregara la autenticación de Google y ya habían configurado una contraseña y un acceso de correo electrónico normales seguirán funcionando.
• Los usuarios que se crearon después de agregar la autenticación de Google ya no podrán acceder. Si bien sus cuentas aún existen, no pueden acceder a ellas y sus cuentas son huérfanas.

Por eso, actualmente te sugerimos evitar esta ruta. Si debes seguir este camino, es posible que exista un método para corregir las cuentas huérfanas mediante la API de Looker. Comunícate con el equipo de asistencia de Looker para obtener orientación adicional.