Autenticazione Google

La pagina Google Authentication (Autenticazione Google) nella sezione Authentication (Autenticazione) del menu Admin (Amministrazione) ti consente di configurare Google OAuth sul lato di Looker.

Panoramica delle funzioni

Se vuoi, Looker può eseguire l'autenticazione mediante Google OAuth, per gli utenti che hanno account registrati con Google Workspace.

• Le organizzazioni che utilizzano Google Workspace possono autenticare gli utenti di Looker tramite gli Account Google.
• Gli utenti accedono a Looker eseguendo l'autenticazione con il proprio Account Google.
• I nuovi Account Google accedono automaticamente a Looker. Non è necessario invitare separatamente gli utenti in Looker. Imposti il ruolo predefinito per i nuovi utenti, che può limitare il loro accesso a funzionalità e dati.
• Quando questa opzione è attivata, Looker autentica gli utenti solo con Google OAuth, a meno che non sia selezionata l'opzione "login alternativo" (vedi le istruzioni successive di seguito).

Nella barra di navigazione viene visualizzato l'avatar di Google di un utente anziché il simbolo standard dell'utente:

I seguenti comportamenti potrebbero influire sulla tua decisione di utilizzare Google OAuth:

• Quando abiliti Google OAuth, l'istanza di Looker può unire gli account utente esistenti al dominio registrato da Google, ma solo per gli account il cui indirizzo email corrisponde al dominio. Tutti gli altri account non amministrativi perderanno la possibilità di accedere.
• Tutti gli utenti del dominio specificato hanno accesso all'istanza di Looker.
• Per impostazione predefinita, le autorizzazioni per i nuovi utenti Google sono accessibili per impostazione predefinita per un elenco specificato di modelli (che potrebbe, in via facoltativa, non avere accesso ai modelli). Le autorizzazioni possono essere aggiornate da un amministratore dopo la creazione dell'account.
• I nuovi account Looker che effettuano l'autenticazione tramite OAuth non possono passare all'autenticazione tramite password, anche se OAuth è disabilitato per l'istanza di Looker.

Requisiti preliminari

Per utilizzare Google OAuth sono necessari:

• Un account Google Workspace per l'organizzazione.

  La configurazione dell'Account Google dell'utente deve includere sia un nome che un cognome. Se l'utente ha eliminato il proprio nome o cognome dal proprio Account Google, ciò può impedire a Looker di autenticare l'utente con Google OAuth. Per ulteriori informazioni, consulta la sezione Suggerimenti.

• Un dominio controllato dall'organizzazione e registrato nell'account Google Workspace.

• Utenti con indirizzi email nel dominio associato all'Account Google.

Attivazione dell'autenticazione con Google OAuth

Per abilitare l'autenticazione con Google OAuth è necessario che un amministratore esegua dei passaggi sia sul lato Google sia sul lato Looker, come descritto nelle sezioni seguenti.

Configurazione lato Google

Di seguito sono descritti i passaggi per attivare Google OAuth da parte di Google. La descrizione generica di questi passaggi è disponibile nella pagina dell'Assistenza Google relativa alla configurazione di OAuth 2.0. La documentazione sulla console per gli sviluppatori di Google è disponibile alla pagina Guida di Google Cloud Console.

1. Vai alla console Google Cloud.

2. Fai clic sulla freccia giù nel menu a discesa Seleziona un progetto. Puoi vedere il nome di un progetto esistente nel menu a discesa; fai clic sulla freccia giù in qualsiasi momento per visualizzare l'opzione per creare un nuovo progetto.

3. Nella pagina Seleziona un progetto, fai clic su Nuovo progetto.

   Google mostra la pagina Nuovo progetto.

4. Compila le informazioni nella pagina Nuovo progetto e fai clic su Crea.

   Al termine della creazione del nuovo progetto, Google torna alla console Google Cloud e mostra il nuovo progetto.

5. Nel menu a sinistra, seleziona API e servizi; credenziali.

6. Nella pagina Credenziali, fai clic sul pulsante Crea credenziali e seleziona ID client OAuth dal menu a discesa.

   Google visualizza la pagina Crea ID client OAuth.

7. Google richiede la configurazione di una schermata di consenso OAuth, che consente agli utenti di scegliere come concedere l'accesso ai propri dati privati e fornisce un link ai termini di servizio e alle norme sulla privacy della tua organizzazione. Fai clic su Configura la schermata per il consenso. Se hai configurato il consenso OAuth per un progetto precedente, questa opzione non viene visualizzata e puoi andare al passaggio 13.

   Google mostra la pagina Schermata consenso OAuth.

8. Inserisci il dominio della tua istanza di Looker nel campo Authorized domains (Domini autorizzati). Ad esempio, se Looker ospita l'istanza presso https://mycompany.looker.com, il dominio è looker.com. Per i deployment Looker ospitati dal cliente, inserisci il dominio su cui ospiti Looker.

   

9. Configura la schermata per il consenso OAuth e fai clic su Salva e continua.

   Per informazioni sulla configurazione della schermata di consenso OAuth di Google, consulta la pagina Configurare OAuth 2.0 per l'assistenza Google.

10. Nella pagina Ambiti, fai clic su Salva e continua. Non sono richieste configurazioni di ambito aggiuntive.

11. Nella pagina Riepilogo, fai clic su Torna alla Dashboard.

    Google ti restituisce la pagina Crea ID client OAuth.

12. In Tipo di applicazione, seleziona Applicazione web.

13. Nel campo Nome, inserisci un nome per l'ID client OAuth.

14. Nel campo Authorized JavaScript origins (Origini JavaScript autorizzate), inserisci l'URL dell'istanza di Looker, incluso https://. Ad esempio:

    • Se Looker ospita l'istanza: https://mycompany.looker.com
    • Se hai un'istanza di Looker ospitata dal cliente: https://looker.mycompany.com
    • Se la tua istanza di Looker richiede un numero di porta: https://looker.mycompany.com:9999

15. Nel campo URI di reindirizzamento autorizzati, inserisci l'URL dell'istanza di Looker, seguito da /oauth2callback. Ad esempio: https://mycompany.looker.com/oauth2callback o https://looker.mycompany.com:9999/oauth2callback.

16. Fai clic su Create (Crea).

17. Copia il tuo client ID e i valori del tuo client secret: ti serviranno per configurare Looker.

Configura lato Looker

Di seguito sono riportati i passaggi per attivare OAuth di Google sul lato Looker.

1. Dall'applicazione Looker, dopo aver eseguito l'accesso come amministratore, fai clic sul menu a discesa Admin (Amministratore) per aprire il menu Admin (Amministratore).

2. Nel gruppo Authentication, fai clic su Google. Looker visualizza la pagina Google Authentication (Autenticazione Google):

   

3. Fai clic su Attivata per visualizzare e modificare le impostazioni di Google OAuth. L'autenticazione di Google non viene attivata immediatamente; devi confermare la tua scelta in un secondo momento.

4. Inserisci le Impostazioni di autenticazione Google:

   

   • Client ID e Client Secret: copia e incolla questi valori dalla pagina Client OAuth di Google, come spiegato nelle istruzioni di configurazione di Google riportate sopra.
   • Domini: i nomi di dominio gestiti da Google della tua organizzazione. Qualsiasi utente Google nel dominio specificato può accedere alla tua istanza di Looker. Se controlli più domini Google, puoi inserirli separati da virgole.

   AVVISO: inserisci solo i domini Google controllati dalla tua organizzazione. Se inserisci altri domini, potresti aprire l'accesso per gli utenti di un dominio che non è sotto il tuo controllo.

5. Inserisci le Opzioni di migrazione, che controllano il comportamento dell'istanza di Looker durante la transizione a Google OAuth.

   

   • Accesso alternativo per gli amministratori: consente agli amministratori di continuare ad accedere con email e password. Si tratta di una soluzione di riserva utile in caso di problemi di configurazione di Google OAuth. Si tratta di un'impostazione consigliata ed descritta di seguito.
   • Merge by email (Unisci per email): consente di convertire tutti gli utenti esistenti con indirizzi email nei Domini specificati al fine di utilizzare Google OAuth al successivo accesso. Questa impostazione è consigliata.
   • Ruoli per i nuovi utenti: consente di specificare la funzionalità e l'accesso al modello di cui dispongono i nuovi utenti non amministratori. Questo elenco può essere aggiornato in un secondo momento. Se il campo viene lasciato vuoto, i nuovi utenti autenticati da Google avranno funzionalità limitate all'interno della piattaforma Looker finché un amministratore non avrà aggiunto un ruolo al proprio account. Poiché tutti gli utenti del dominio Google saranno in grado di accedere a Looker, puoi specificare un ruolo predefinito per i nuovi utenti che limiti l'accesso in modo appropriato.

6. Fai clic su Test Google Authentication (Prova autenticazione Google) per utilizzare le impostazioni correnti e tenta di autenticare il browser corrente in una nuova finestra. Questa azione non salva le impostazioni correnti né le applica all'istanza di Looker.

   

   Se non hai eseguito l'accesso a Google, ti viene chiesto di eseguire l'accesso e chiedere il consenso per utilizzare i dati del tuo Account Google. Questo flusso utilizza le impostazioni personalizzate della schermata di consenso che hai utilizzato nella configurazione lato Google.

   Se l'operazione riesce, viene visualizzata una sezione User Info (Informazioni utente) con il tuo nome, email, dominio e così via. La presenza di questa sezione User Info (Informazioni utente) indica che l'utente sarà autenticato correttamente da Looker.

   

   In caso di errore, vengono visualizzate le descrizioni degli errori. Di seguito sono riportati alcuni problemi comuni:

   • ID client o client secret copiato. che devono essere copiati e incollati con attenzione.
   • L'utente è esterno al dominio. Se vedi una sezione Informazioni sulla persona ma non la pagina Informazioni utente, probabilmente il motivo è che l'utente non appartiene al dominio che hai specificato. Questo dimostra che la persona si è autenticata correttamente su Google, ma non sta utilizzando un Account Google che hai scelto di consentire nella tua istanza di Looker.
   • L'URL di Looker e/o di reindirizzamento non è configurato correttamente in Google per Looker.

7. Per salvare e applicare le modifiche, seleziona Ho confermato la configurazione qui sopra e voglio attivarla a livello globale. Fai clic su Update (Aggiorna).

Dopo aver attivato l'autenticazione di Google, gli utenti possono eseguire l'autenticazione solo tramite Google OAuth. Se non hai abilitato l'impostazione Merge by email (Unisci per email) per gli account esistenti, ogni nuovo accesso autenticato da Google crea un nuovo utente Looker. Gli accessi e-mail/password esistenti non sono utilizzabili contemporaneamente all'attivazione dell'autenticazione di Google.

Suggerimenti

• Per provare l'intero ciclo di autenticazione, puoi uscire da Google e verificare che Google ti chieda di accedere di nuovo quando provi ad accedere a Looker.

• In Google puoi fare clic su Account nel menu a discesa personale (accanto al tuo indirizzo email in alto a destra in una pagina di Google Workspace) per gestire il tuo account personale.

  In questa pagina di gestione è presente una scheda Sicurezza con una sezione Autorizzazioni account. Se fai clic su App e siti web Visualizza tutti, in qualità di utente puoi vedere e gestire i servizi e le app a cui hai concesso le autorizzazioni.

  Se fai clic sulle autorizzazioni Looker che hai concesso per eseguire l'accesso, visualizzerai i dettagli visualizzati nella schermata per il consenso che gli utenti hanno personalizzato sopra. Puoi anche fare clic su Revoca accesso in modo che al successivo accesso a Looker (o all'autorizzazione di prova) ti venga chiesto di visualizzare nuovamente la schermata di consenso. Puoi utilizzare questo flusso di lavoro per personalizzare la schermata per il consenso e visualizzare ciò che vedranno gli utenti.

• Se un utente non riesce ad accedere, ma non riceve un messaggio di errore, potrebbe aver modificato il nome del suo account Google Workspace e avere eliminato il nome o il cognome. In questa situazione, il nome dell'account Google Workspace potrebbe essere ancora completo nella Console di amministrazione, il che potrebbe non mostrare le modifiche dell'utente. Per evitare questo problema, gli amministratori di Google Workspace possono disattivare l'opzione Consenti agli utenti di personalizzare questa impostazione.

Attivazione degli accessi via email quando Google Auth è attivato

I nuovi Account Google accedono automaticamente a Looker, quindi non è necessario aggiungere utenti che appartengono al tuo dominio Google.

Per aggiungere un utente tramite un indirizzo email che non appartiene al tuo dominio Google:

1. Attiva l'opzione Accesso alternativo per gli amministratori e gli utenti specificati nella pagina di autenticazione di Google
2. Crea o modifica un ruolo utente esistente per aggiungere l'autorizzazione login_special_email
3. Vai ad Aggiungi utenti nel riquadro Utenti (/admin/users/new)
4. Aggiungi uno o più indirizzi email da includere e i ruoli che questi utenti dovrebbero avere, che devono includere un ruolo con l'autorizzazione login_special_email
5. Questi utenti possono ora accedere tramite https://mycompany.looker.com/login/email (URL nascosto).

Per abilitare gli accessi alternativi utilizzando l'API Looker, consulta la pagina della documentazione Abilitare l'opzione di accesso alternativo.

Disattivazione di Google Auth dopo l'attivazione

Se vuoi disattivare l'autenticazione Google per la tua istanza di Looker dopo che è stata già abilitata, ecco alcune cose da considerare:

• Gli utenti creati prima dell'aggiunta dell'autenticazione Google che avevano già configurato dati di accesso e password email standard continueranno a funzionare.
• Gli utenti che sono stati creati dopo l'aggiunta di Google Authentication non potranno più accedere. Mentre i loro account esistono ancora, non hanno modo di accedervi e sono di fatto orfani.

Per questo motivo, attualmente ti consigliamo di evitare questo percorso. Se hai bisogno di seguire questo percorso, potrebbe essere disponibile un metodo per correggere gli account orfani utilizzando l'API Looker. Contatta l'assistenza Looker per ulteriori indicazioni.