Authentification Google

La page Google Authentication de la section Authentification du menu Admin vous permet de configurer Google OAuth du côté de Looker.

Présentation des fonctionnalités

Si vous le souhaitez, Looker peut effectuer l'authentification via Google OAuth pour les utilisateurs disposant de comptes enregistrés auprès de Google Workspace.

  • Les organisations utilisant Google Workspace peuvent authentifier les utilisateurs de Looker via des comptes Google.
  • Les utilisateurs se connectent à Looker en s'authentifiant avec leur compte Google.
  • Les nouveaux comptes Google ont automatiquement accès à Looker. Il n'est pas nécessaire d'inviter séparément les utilisateurs à Looker. Vous définissez le rôle par défaut des nouveaux utilisateurs, ce qui peut limiter leur accès aux fonctionnalités et aux données.
  • Lorsque cette option est activée, Looker authentifie les utilisateurs uniquement avec Google OAuth, sauf si l'option "autre connexion" est sélectionnée (voir les instructions supplémentaires ci-dessous).

Un avatar Google s'affiche dans la barre de navigation à la place du symbole d'utilisateur standard:

Les comportements suivants peuvent avoir une incidence sur votre décision d'utiliser Google OAuth:

  • Lorsque vous activez Google OAuth, l'instance Looker peut fusionner des comptes utilisateur existants avec le domaine enregistré par Google, mais uniquement pour les comptes dont l'adresse e-mail correspond au domaine. Tous les autres comptes non administrateurs ne pourront plus se connecter.
  • Tous les utilisateurs du domaine spécifié ont accès à l'instance Looker.
  • Les autorisations des nouveaux utilisateurs de Google sont définies par défaut sur un accès de base à une liste de modèles spécifiée (qui peut éventuellement être accessible à zéro). Un administrateur peut modifier les autorisations après la création du compte.
  • Les nouveaux comptes Looker qui s'authentifient via Google OAuth ne peuvent pas passer à l'authentification par mot de passe, même si OAuth est désactivé pour l'instance Looker.

Exigences préliminaires

L'utilisation de Google OAuth nécessite les éléments suivants:

  • Un compte Google Workspace pour l'organisation.

    La configuration du compte Google de l'utilisateur doit inclure un prénom et un nom de famille. Si l'utilisateur a supprimé son prénom ou son nom de son compte Google, cela peut empêcher Looker de l'authentifier avec Google OAuth. Pour en savoir plus, consultez la section Conseils.

  • Domaine contrôlé par l'organisation, enregistré dans le compte Google Workspace

  • Utilisateurs disposant d'adresses e-mail dans le domaine associé au compte Google

Activer l'authentification avec Google OAuth

L'activation de l'authentification avec Google OAuth nécessite qu'un administrateur effectue des étapes à la fois du côté Google et côté Looker, comme décrit dans les sections suivantes.

Configuration côté Google

La procédure d'activation du protocole OAuth côté Google est décrite ci-dessous. La description générique de cette procédure se trouve sur la page d'assistance de Google consacrée à la configuration d'OAuth 2.0. Vous trouverez de la documentation sur la console Google Dev sur la page Aide de Google Cloud Console.

  1. Accédez à Google Cloud Console.

  2. Cliquez sur la flèche vers le bas du menu déroulant Select a project (Sélectionner un projet). Vous pouvez voir le nom d'un projet existant dans la liste déroulante. Cliquez quand même sur la flèche vers le bas, et vous serez redirigé vers l'option permettant de créer un projet.

  3. Sur la page Sélectionner un projet, cliquez sur Nouveau projet.

    Google affiche la page Nouveau projet.

  4. Fournissez les informations requises sur la page Nouveau projet, puis cliquez sur Créer.

    Une fois le projet créé, vous revenez à Google Cloud Console et affiche votre nouveau projet.

  5. Dans le menu de gauche, sélectionnez API et services > Identifiants.

  6. Sur la page Identifiants, cliquez sur le bouton Créer des identifiants, puis sélectionnez ID client OAuth dans le menu déroulant.

    Google affiche la page Créer un ID client OAuth.

  7. Google exige que vous configuriez un écran de consentement OAuth, qui permet à vos utilisateurs de choisir comment accorder l'accès à leurs données privées et fournit un lien vers les conditions d'utilisation et les règles de confidentialité de votre organisation. Cliquez sur Configurer l'écran de consentement. (Si vous avez configuré le consentement OAuth pour un projet précédent, cette option ne s'affiche pas et vous pouvez passer à l'étape 13.)

    Google affiche la page Écran de consentement OAuth.

  8. Saisissez le domaine de votre instance Looker dans le champ Domaines autorisés. Par exemple, si Looker héberge votre instance sur https://mycompany.looker.com, le domaine est looker.com. Pour les déploiements de Looker hébergés par un client, saisissez le domaine sur lequel vous hébergez Looker.

  9. Configurez votre écran de consentement OAuth, puis cliquez sur Enregistrer et continuer.

    Pour en savoir plus sur la configuration de l'écran d'autorisation OAuth de Google, consultez la page Configurer OAuth 2.0 de l'assistance Google.

  10. Sur la page Champs d'application, cliquez sur Enregistrer et continuer. Aucune configuration de niveau d'accès supplémentaire n'est requise.

  11. Sur la page Récapitulatif, cliquez sur Revenir au tableau de bord.

    Vous êtes redirigé vers la page Créer un ID client OAuth.

  12. Sous Type d'application, sélectionnez Application Web.

  13. Dans le champ Nom, saisissez un nom pour votre ID client OAuth.

  14. Dans le champ Origines JavaScript autorisées, saisissez l'URL de votre instance Looker, y compris https://. Exemple :

    • Si Looker héberge votre instance : https://mycompany.looker.com
    • Si vous disposez d'une instance Looker hébergée par le client: https://looker.mycompany.com
    • Si votre instance Looker nécessite un numéro de port : https://looker.mycompany.com:9999

  15. Dans le champ URI de redirection autorisés, saisissez l'URL de votre instance Looker, suivie de /oauth2callback. Exemple : https://mycompany.looker.com/oauth2callback ou https://looker.mycompany.com:9999/oauth2callback.

  16. Cliquez sur Créer.

  17. Copiez votre ID client et votre code secret. Vous en aurez besoin pour configurer Looker.

Configuration côté Looker

Vous trouverez ci-dessous les étapes à suivre pour activer Google OAuth du côté de Looker.

  1. Dans l'application Looker, connectez-vous en tant qu'administrateur et cliquez sur la liste déroulante Admin pour ouvrir le menu Admin.

  2. Dans le groupe Authentification, cliquez sur Google. Looker affiche la page Google Authentication:

  3. Cliquez sur Activé pour afficher et modifier les paramètres OAuth de Google. (Cette action n'active pas immédiatement l'authentification de Google ; vous devrez confirmer votre choix plus tard.)

  4. Saisissez vos paramètres d'authentification Google:

    • ID client et code secret du client : copiez et collez ces valeurs à partir de la page du client OAuth de Google, comme indiqué dans les instructions de configuration Google ci-dessus.
    • Domaines : noms de domaine de votre organisation gérés par Google. Tout utilisateur Google du domaine donné peut se connecter à votre instance Looker. Si vous contrôlez plusieurs domaines Google, vous pouvez les saisir en les séparant par une virgule.

    AVERTISSEMENT:Saisissez uniquement les domaines Google contrôlés par votre organisation. La saisie d'un autre domaine peut donner accès aux utilisateurs d'un domaine que vous ne contrôlez pas.

  5. Saisissez les options de migration, qui contrôlent le comportement de l'instance Looker lors de la transition vers Google OAuth:

    • Connexion alternative pour les administrateurs : permet aux administrateurs de continuer à se connecter à l'aide de l'adresse e-mail et du mot de passe. Cette fonctionnalité est utile en cas de problème de configuration du protocole Google OAuth. Ce paramètre est recommandé et décrit plus en détail ci-dessous.
    • Merge by email (Fusionner par e-mail) : convertit tous les utilisateurs existants disposant d'une adresse e-mail dans les domaines donnés afin qu'ils utilisent Google OAuth lors de leur prochaine connexion. Ce paramètre est recommandé.
    • Rôles pour les nouveaux utilisateurs : spécifie les fonctionnalités et l'accès au modèle des nouveaux utilisateurs non-administrateurs. Vous pourrez modifier cette liste plus tard. Si ce champ n'est pas renseigné, les nouveaux utilisateurs authentifiés par Google disposeront de fonctionnalités limitées dans la plate-forme Looker jusqu'à ce qu'un administrateur ajoute un rôle à leur compte. Étant donné que tous les utilisateurs de votre domaine Google pourront se connecter à Looker, vous pouvez spécifier un rôle par défaut pour les nouveaux utilisateurs, qui limite l'accès de manière appropriée.

  6. Cliquez sur Test Google Authentication (Tester l'authentification Google) pour utiliser les paramètres actuels et tenter d'authentifier le navigateur actuel dans une nouvelle fenêtre. Cette action n'enregistre pas les paramètres actuels et ne les applique pas à l'instance Looker.

    Si vous n'êtes pas connecté à Google, vous êtes invité à le faire et avez demandé l'autorisation d'utiliser les informations de votre compte Google. Ce parcours utilise les paramètres personnalisés de l'écran de consentement que vous avez utilisés dans la configuration côté Google.

    Si l'opération réussit, une section User Info (Informations utilisateur) s'affiche avec votre nom, votre adresse e-mail, votre domaine, etc. La présence de cette section User Info indique que l'utilisateur sera authentifié par Looker.

    En cas d'échec, des descriptions s'affichent. Voici quelques problèmes courants:

    • ID client ou code secret du client incorrects Vous devez les copier et les coller en entier.
    • L'utilisateur n'appartient pas au domaine. Si une section Informations sur la personne s'affiche, mais que vous n'avez pas d'informations sur les informations utilisateur, cela signifie probablement que l'utilisateur ne fait pas partie du domaine que vous avez spécifié. Cela signifie que la personne s'est correctement authentifiée sur Google, mais qu'elle n'utilise pas un compte Google que vous avez choisi d'autoriser dans votre instance Looker.
    • L'URL et/ou l'URL de redirection Looker ne sont pas correctement configurées dans Google pour votre Looker.

  7. Pour enregistrer et appliquer les modifications, cochez la case J'ai confirmé la configuration ci-dessus et je souhaite activer son application dans le monde entier. Cliquez sur Mettre à jour.

Une fois que vous avez activé l'authentification Google, les utilisateurs peuvent s'authentifier uniquement via Google OAuth. Si vous n'avez pas activé le paramètre Merge by email (Fusionner par e-mail) pour les comptes existants, chaque nouvelle connexion authentifiée par Google crée un utilisateur Looker. Les identifiants de connexion à une adresse e-mail/mot de passe existants ne peuvent pas être utilisés en même temps que l'authentification Google.

Conseils

  • Pour tester le cycle d'authentification complet, vous pouvez vous déconnecter de Google et constater que Google vous invite à vous reconnecter lorsque vous tentez de vous connecter à Looker.

  • Dans Google, vous pouvez gérer votre compte personnel en cliquant sur Compte dans la liste déroulante personnelle (à côté de votre adresse e-mail, en haut à droite de la page Google Workspace).

    Sur cette page de gestion, vous trouverez un onglet Sécurité avec une section Autorisations au niveau du compte. Si vous cliquez sur Applications et sites Web Tout afficher, vous pouvez (en tant qu'utilisateur) voir et gérer les services et les applications auxquels vous avez accordé des autorisations.

    En cliquant sur les autorisations Looker que vous avez accordées pour vous connecter, vous affichez les détails que les utilisateurs voient dans l'écran de consentement que vous avez personnalisé ci-dessus. Vous pouvez également cliquer sur Révoquer l'accès afin que l'écran de consentement s'affiche à nouveau lorsque vous vous connecterez à Looker (ou lors de l'autorisation de test). Vous pouvez l'utiliser pour personnaliser votre écran de consentement et afficher ce que les utilisateurs verront.

  • Si un utilisateur ne parvient pas à se connecter, mais ne reçoit pas de message d'erreur, il peut avoir modifié le nom de son compte Google Workspace et supprimé son prénom ou son nom. Dans ce cas, le nom du compte Google Workspace peut encore être affiché dans la console d'administration, ce qui peut empêcher l'utilisateur de voir les modifications apportées. Pour éviter ce problème, les administrateurs Google Workspace peuvent désactiver l'option Autoriser les utilisateurs à personnaliser ce paramètre.

Activation des connexions par e-mail lorsque Google Auth est activé

Les nouveaux comptes Google ont automatiquement accès à Looker. Vous n'avez donc pas besoin d'ajouter des utilisateurs de votre domaine Google.

Pour ajouter un utilisateur via une adresse e-mail qui n'appartient pas à votre domaine Google:

  1. Activer l'option Connexion alternative pour les administrateurs et les utilisateurs spécifiés sur la page d'authentification Google
  2. Créez ou modifiez un rôle utilisateur existant pour ajouter l'autorisation login_special_email
  3. Accédez à Ajouter des utilisateurs à partir du panneau des utilisateurs (/admin/users/new).
  4. Ajoutez les adresses e-mail que vous souhaitez inclure, ainsi que les rôles que ces utilisateurs doivent avoir. Ils doivent inclure un rôle doté de l'autorisation login_special_email
  5. Ces utilisateurs peuvent désormais se connecter à l'adresse https://mycompany.looker.com/login/email (URL masquée).

Pour activer d'autres connexions à l'aide de l'API Looker, consultez la page de documentation Activer l'option de connexion alternative.

Désactivation de Google Auth une fois celle-ci activée

Si vous souhaitez désactiver l'authentification Google pour votre instance Looker après l'avoir activée, vous devez tenir compte de certains points:

  • Les utilisateurs créés avant l'ajout de l'authentification Google et ayant déjà configuré une adresse e-mail de connexion et un mot de passe normaux continueront de fonctionner.
  • Les utilisateurs créés après l'authentification Google ne peuvent plus se connecter. Bien qu'ils existent toujours, ils n'ont aucun moyen d'y accéder et sont orphelins.

C'est pourquoi nous vous conseillons d'éviter cet itinéraire. Si vous devez suivre cette méthode, il existe peut-être une méthode pour corriger les comptes orphelins à l'aide de l'API Looker. Contactez l'assistance Looker pour obtenir des conseils supplémentaires.