Autenticazione LDAP

Contattaci

La pagina LDAP nella sezione Authentication (Autenticazione) del menu Admin (Amministrazione) consente di configurare Looker per autenticare gli utenti con LDAP (Lightweight Directory Access Protocol). Questa pagina descrive questo processo e include le istruzioni per collegare i gruppi LDAP a ruoli e autorizzazioni Looker.

Aspetti da tenere presenti:

  • L'autenticazione Looker utilizza l'autenticazione semplice di LDAP. L'autenticazione anonima non è supportata.
  • Devi creare un singolo account utente LDAP con privilegi di lettura per le voci utente e le voci di gruppo che verranno utilizzate da Looker.
  • Looker legge solo dalla directory LDAP (non le scritture).
  • Looker può eseguire la migrazione degli account esistenti a LDAP utilizzando indirizzi email.
  • L'utilizzo dell'API Looker non interagisce con l'autenticazione LDAP.
  • Se il server LDAP limita il traffico IP, dovrai aggiungere gli indirizzi IP di Looker alla lista consentita dell'IP o alle regole del traffico in entrata del server LDAP.
  • LDAP esegue l'override dell'autenticazione a due fattori. Se hai già attivato l'autenticazione a due fattori, gli utenti non visualizzeranno le schermate di accesso dell'autenticazione a due fattori dopo aver attivato LDAP.

Fai attenzione se disattivi l'autenticazione LDAP

Se hai eseguito l'accesso a Looker utilizzando LDAP e vuoi disattivare l'autenticazione LDAP, presta attenzione prima di seguire questi passaggi:

  • Assicurati di avere altre credenziali di accesso.
  • Attiva l'opzione Alternate Login (Accesso alternativo) nella pagina di configurazione di LDAP.

In caso contrario, puoi escludere te e altri utenti da Looker.

Per iniziare

Vai alla pagina LDAP Authentication (Autenticazione LDAP) nella sezione Admin (Amministrazione) di Looker per visualizzare le opzioni di configurazione seguenti.

Configura la connessione

Looker supporta il trasporto/la crittografia con LDAP in modalità chiara e LDAP su TLS. È vivamente consigliato usare LDAP su TLS. StartTLS e altri schemi di crittografia non sono supportati.

  1. Inserisci le informazioni relative a Host e Porta.
  2. Seleziona la casella accanto a TLS se utilizzi LDAP su TLS.
  3. Se utilizzi LDAP su TLS, Looker applica la verifica dei certificati peer per impostazione predefinita. Se devi disattivare la verifica del certificato peer, seleziona Nessuna verifica.
  4. Fai clic su Prova connessione. Se vengono segnalati eventuali errori, correggili prima di procedere.

Autenticazione connessione

Looker richiede l'accesso a un account LDAP protetto da password. L'account LDAP deve avere accesso in lettura alle voci di persone e a una nuova serie di voci di ruolo. L'account Looker LDAP non richiede l'accesso in scrittura (né l'accesso ad altri aspetti della directory) e non importa in quale spazio dei nomi viene creato l'account.

  1. Inserisci la Password.
  2. [Facoltativo] Seleziona la casella di controllo Force No Paging (Forza la non ricerca nelle pagine) se il tuo provider LDAP non fornisce risultati impaginati. In alcuni casi, questa operazione può essere d'aiuto se non ricevi corrispondenze quando cerchi utenti, anche se non è l'unica soluzione per questo problema.
  3. Fai clic sul pulsante Verifica autenticazione. Se vengono visualizzati errori, assicurati che le informazioni di autenticazione siano corrette. Se le credenziali sono valide ma gli errori persistono, contatta l'amministratore LDAP della tua azienda.

Impostazioni di associazione utente

I dettagli in questa sezione specificano in che modo Looker troverà gli utenti nella tua directory, vincola per l'autenticazione ed estrae le informazioni sugli utenti.

  1. Imposta il DN di base, che è la base della struttura ad albero per tutti gli utenti.
  2. (Facoltativo) Specifica una Classe oggetti utente, che controlla i tipi di risultati che Looker troverà e restituirà. Questo è utile se il DN di base è una combinazione di tipi di oggetti (persone, gruppi, stampanti e così via) e vuoi restituire voci di un solo tipo.
  3. Imposta gli attori di accesso, che definiscono gli attributi che i tuoi utenti utilizzeranno per accedere. Questi ID devono essere univoci per ciascun utente e devono essere conosciuti come ID all'interno del tuo sistema. Ad esempio, puoi scegliere un ID utente o un indirizzo email completo. Se aggiungi più di un attributo, Looker li cercherà entrambi per trovare l'utente appropriato. Assicurati di selezionare i campi appropriati qui: utilizzare un nome come il nome e il cognome non funzionerà quando avrai due Jennifer Smith e così via.
  4. Specifica l'Attest email, l'Attestazione nome e l'Attestazione cognome. Queste informazioni indicano a Looker come mappare questi campi ed estrarre le relative informazioni al momento dell'accesso.
  5. Imposta il valore ID Attr, che indica un campo che deve essere utilizzato da Looker come ID univoco per gli utenti. In genere, questo sarà uno dei campi di accesso.
  6. (Facoltativo) Inserisci un Filtro personalizzato facoltativo, che consente di fornire filtri LDAP arbitrari che verranno applicati quando si cerca un utente da associare durante l'autenticazione LDAP. Questo è utile se vuoi filtrare insiemi di record utente, ad esempio utenti disattivati o che appartengono a un'altra organizzazione.

Esempio

Questa voce di utente ldiff di esempio mostra come configurare le impostazioni di Looker corrispondenti:

Inserimento utente Ldiff

dn: cn=mward,ou=People,dc=example,dc=com
objectClass: person
objectClass: inetOrgPerson
objectClass: organizationalPerson
objectClass: top
cn: mward
userpassword: normal
givenname: Marcus
telephonenumber: +1 408 555 5688
sn: Ward
mail: mward@example.com
ou: People

Impostazioni di Looker corrispondenti

Base DN: ou=People,dc=looker,dc=com
User Object Class: person
Login Attrs: cn
Email Attr: mail
First Name Attr: givenname
Last Name Attr: sn
ID Attr: cn

Associazione degli attributi utente LDAP con gli attributi utente Looker

Facoltativamente, puoi utilizzare i dati negli attributi utente LDAP per inserire automaticamente i valori negli attributi utente Looker quando un utente esegue l'accesso. Ad esempio, se hai configurato LDAP per creare connessioni specifiche per l'utente al database, puoi abbinare gli attributi utente LDAP agli attributi utente di Looker per rendere specifiche le connessioni del database in Looker.

Tieni presente che l'attributo LDAP deve essere un attributo utente, non un attributo di gruppo.

Per associare gli attributi utente LDAP agli attributi utente Looker corrispondenti:

  1. Inserisci il nome dell'attributo utente LDAP nel campo LDAP User Attribute (Attributo utente LDAP) e il nome dell'attributo utente Looker che vuoi associare nel campo Looker User Attributes (Attributi utente Looker).
  2. Seleziona Obbligatorio se vuoi richiedere un valore per l'attributo LDAP per consentire a un utente di accedere.
  3. Fai clic su + e ripeti questi passaggi per aggiungere altre coppie di attributi.

Informazioni utente di test

  1. Inserisci le credenziali di un utente di prova e fai clic sul pulsante Test User Authentication (Prova autenticazione utente). Looker proverà a una sequenza di autenticazione LDAP completa e mostrerà il risultato. In caso di esito positivo, Looker restituisce le informazioni utente dalla directory più alcune informazioni di traccia sul processo di autenticazione, che possono essere utili per risolvere i problemi di configurazione.
  2. Verifica che l'autenticazione vada a buon fine e che tutti i campi siano mappati correttamente. Ad esempio, verifica che il campo first_name non contenga un valore che appartiene a last_name.

Gruppi e ruoli

Puoi configurare Looker in modo che crei gruppi che rispecchino i gruppi LDAP gestiti esternamente. Successivamente puoi assegnare i ruoli di Looker agli utenti in base ai gruppi LDAP con mirroring. Quando apporti modifiche all'iscrizione al gruppo LDAP, le modifiche vengono propagate automaticamente alla configurazione del gruppo di Looker.

Il mirroring dei gruppi LDAP ti consente di utilizzare la directory LDAP definita esternamente per gestire i gruppi e gli utenti di Looker. Questo, a sua volta, ti consente di gestire l'iscrizione al gruppo per più strumenti Software as a Service (SaaS), come Looker, in un unico posto.

Se attivi Mirroring gruppi LDAP, Looker creerà un gruppo Looker per ogni gruppo LDAP introdotto nel sistema. Questi gruppi di Looker possono essere visualizzati nella pagina Groups (Gruppi) della sezione Admin (Amministrazione) di Looker. I gruppi possono essere utilizzati per assegnare ruoli ai membri dei gruppi, impostare i controlli dell'accesso ai contenuti e assegnare gli attributi utente.

Gruppi e ruoli predefiniti

Per impostazione predefinita, l'opzione Esegui il mirroring dei gruppi LDAP è disattivata. In questo caso, puoi impostare un gruppo predefinito per i nuovi utenti LDAP. Nei campi New User Groups (Nuovi gruppi di utenti) e New User Roles (Nuovi ruoli utente), inserisci i nomi di qualsiasi gruppo o ruolo Looker a cui vuoi assegnare nuovi utenti Looker al primo accesso a Looker:

Questi gruppi e ruoli vengono applicati ai nuovi utenti al momento dell'accesso iniziale. I gruppi e i ruoli non vengono applicati agli utenti preesistenti e non vengono riapplicati se vengono rimossi dagli utenti dopo l'accesso iniziale.

Se in seguito attivi i gruppi LDAP con mirroring, questi valori predefiniti verranno rimossi per gli utenti all'accesso successivo e sostituiti dai ruoli assegnati nella sezione Esegui il mirroring dei gruppi LDAP. Queste opzioni predefinite non saranno più disponibili o assegnate e verranno completamente sostituite dalla configurazione dei gruppi con mirroring.

Abilitazione dei gruppi LDAP con mirroring

Se scegli di eseguire il mirroring dei gruppi LDAP in Looker, attiva l'opzione Mirror LDAP Groups (Esegui il mirroring dei gruppi LDAP). Looker visualizza queste impostazioni:

Group Finder Strategy: scegli un'opzione dal menu a discesa per indicare a Looker come trovare i gruppi di un utente:

  • Gruppi con attributi membri: questa è l'opzione più comune. Quando cerchi un membro del gruppo, Looker restituirà solo i gruppi a cui un utente è assegnato direttamente. Ad esempio, se un utente è membro del gruppo Database-Admin e il gruppo Database-Admin è membro del gruppo Engineering, l'utente riceverà solo le autorizzazioni affiliate al gruppo Database-Admin.

  • Gruppi con attributi membro (ricerca profonda): questa opzione consente ai gruppi di essere membri di altri gruppi, a volte indicati come gruppi nidificati LDAP. Ciò significa che un utente può disporre delle autorizzazioni per più di un gruppo. Ad esempio, se un utente è membro del gruppo Database-Admin e il gruppo Database-Admin è membro del gruppo Engineering, l'utente otterrà le autorizzazioni affiliate a entrambi i gruppi. Tieni presente che alcuni server LDAP (in particolare Microsoft Active Directory) supportano l'esecuzione automatica di questo tipo di ricerca approfondita, anche se il chiamante compie quella che sembra una ricerca poco profonda. Questo potrebbe essere un altro metodo che puoi utilizzare per eseguire una ricerca approfondita.

Base DN (DN di base): consente di restringere la ricerca e può essere uguale al DN di base specificato nella sezione User Binding Settings (Impostazioni di associazione utente) precedente.

Classi degli oggetti Gruppi: questa impostazione è facoltativa. Come indicato nella sezione User Binding Settings (Impostazioni di associazione utente), questo consente di limitare i risultati restituiti da Looker a un particolare tipo di oggetto o a un insieme di tipi di oggetti.

Attesta membro gruppo: l'attributo, che per ciascun gruppo determina gli oggetti (in questo caso, probabilmente le persone) di cui è membro.

Attr. utente gruppo: il nome dell'attributo utente LDAP di cui cercheremo il valore nelle voci del gruppo per determinare se un utente fa parte del gruppo. Il valore predefinito è dn, ovvero lasciarlo vuoto è uguale a impostarlo su dn. Di conseguenza, LDAP utilizzerà il nome distinto completo, che è esattamente la stringa sensibile alle maiuscole che esisterebbe nella ricerca LDAP stessa, per cercare le voci di gruppo.

Prefer Group Name/Roles/Group DN (Nome/ruoli gruppo/DN gruppo preferito): questo insieme di campi consente di assegnare un nome di gruppo personalizzato e uno o più ruoli assegnati al gruppo LDAP corrispondente in Looker:

  1. Inserisci il DN del gruppo LDAP nel campo Group DN (DN gruppo). Deve includere il nome distinto completo, che è esattamente la stringa sensibile alle maiuscole che esisterebbe nella ricerca LDAP stessa. Gli utenti LDAP inclusi nel gruppo LDAP verranno aggiunti al gruppo sottoposto a mirroring in Looker.

  2. Inserisci un nome personalizzato per il gruppo sottoposto a mirroring nel campo Nome personalizzato. Si tratta del nome che verrà visualizzato nella pagina Groups (Gruppi) della sezione Admin (Amministrazione) di Looker.

  3. Nel campo a destra del campo Nome personalizzato, seleziona uno o più ruoli Looker che verranno assegnati a ciascun utente del gruppo.

  4. Fai clic su + per aggiungere altri insiemi di campi per configurare altri gruppi con mirroring. Se hai configurato più gruppi e vuoi rimuovere la configurazione di un gruppo, fai clic su X accanto all'insieme di campi di quel gruppo.

Se modifichi un gruppo sottoposto a mirroring precedentemente configurato in questa schermata, la configurazione del gruppo cambierà, ma il gruppo stesso rimarrà invariato. Ad esempio, puoi modificare il nome personalizzato di un gruppo, cambiando il modo in cui il gruppo viene visualizzato nella pagina Gruppi di Looker, ma non i ruoli e i membri del gruppo assegnati. La modifica del DN del gruppo mantiene il nome e i ruoli del gruppo, ma i membri del gruppo vengono riassegnati in base agli utenti che sono membri del gruppo LDAP esterno che dispone del nuovo DN del gruppo.

Se elimini un gruppo in questa pagina, il gruppo non sarà più sottoposto a mirroring in Looker e ai suoi membri non verranno più assegnati i ruoli di Looker tramite il gruppo.

Eventuali modifiche apportate a un gruppo con mirroring verranno applicate agli utenti di quel gruppo al successivo accesso a Looker.

Gestione avanzata dei ruoli

Se hai attivato l'opzione Mirror LDAP Groups (Esegui mirroring gruppi LDAP), Looker visualizza queste impostazioni. Le opzioni di questa sezione determinano la flessibilità che gli amministratori di Looker possono avere durante la configurazione dei gruppi Looker e degli utenti di cui è stato eseguito il mirroring da LDAP.

Ad esempio, se vuoi che la configurazione utente e il tuo gruppo Looker corrispondano esattamente alla configurazione LDAP, attiva queste opzioni. Se tutte le prime tre opzioni sono attive, gli amministratori di Looker non possono modificare l'appartenenza dei gruppi sottoposti a mirroring e possono assegnare ruoli agli utenti solo tramite gruppi con mirroring LDAP.

Se vuoi avere una maggiore flessibilità per personalizzare ulteriormente i tuoi gruppi in Looker, disattiva queste opzioni. I gruppi Looker rispecchieranno la configurazione LDAP, ma potrai eseguire altre operazioni di gestione di gruppi e utenti in Looker, come aggiungere utenti LDAP a gruppi specifici di Looker o assegnare ruoli Looker direttamente agli utenti LDAP.

Per nuove istanze di Looker o istanze che non hanno configurato gruppi speculari configurati in precedenza, queste opzioni sono disattivate per impostazione predefinita.

Per le istanze Looker esistenti che attualmente hanno gruppi di mirroring configurati, queste opzioni sono attive per impostazione predefinita.

La sezione Gestione avanzata dei ruoli contiene le seguenti opzioni:

Impedisci ai singoli utenti LDAP di ricevere ruoli diretti: l'attivazione di questa opzione impedisce agli amministratori di Looker di assegnare i ruoli Looker direttamente agli utenti LDAP. Gli utenti LDAP riceveranno i ruoli solo attraverso le iscrizioni ai gruppi. Se agli utenti LDAP è consentita l'appartenenza ai gruppi di Looker nativi (non sottoposti a mirroring), possono comunque ereditare i propri ruoli sia da gruppi LDAP con mirroring che da gruppi Looker nativi. Tutti gli utenti LDAP a cui erano stati assegnati in precedenza dei ruoli verranno rimossi al momento dell'accesso successivo.

Se questa opzione è disattivata, gli amministratori di Looker possono assegnare i ruoli Looker direttamente agli utenti LDAP come se fossero utenti configurati in modo nativo in Looker.

Prevent Direct Membership in non-LDAP Groups (Impedisci l'iscrizione diretta a gruppi non LDAP): questa opzione impedisce agli amministratori di Looker di aggiungere utenti LDAP direttamente ai gruppi nativi di Looker. Se i gruppi LDAP con mirroring possono essere membri di gruppi Looker nativi, gli utenti LDAP possono mantenere l'appartenenza in tutti i gruppi Looker principali. Tutti gli utenti LDAP che in precedenza erano stati assegnati ai gruppi nativi di Looker verranno rimossi da questi gruppi al successivo accesso.

Se questa opzione è disattivata, gli amministratori di Looker possono aggiungere utenti LDAP direttamente ai gruppi nativi di Looker.

Impedisci l'ereditarietà dei ruoli dai gruppi non LDAP: se attivi questa opzione, i membri dei gruppi LDAP con mirroring non ereditano i ruoli dai gruppi nativi di Looker. Tutti gli utenti LDAP che in precedenza hanno ereditato i ruoli da un gruppo Looker principale perderanno tali ruoli al momento dell'accesso successivo.

Se questa opzione è disattivata, i gruppi LDAP con mirroring o gli utenti LDAP che vengono aggiunti come membri di un gruppo nativo di Looker erediteranno i ruoli assegnati al gruppo Looker principale.

Auth Richiede ruolo: se questa opzione è attiva, agli utenti LDAP deve essere assegnato un ruolo. Tutti gli utenti LDAP a cui non è assegnato un ruolo non potranno accedere a Looker.

Se questa opzione è disattivata, gli utenti LDAP possono eseguire l'autenticazione su Looker anche se non hanno alcun ruolo assegnato. Un utente a cui non è assegnato alcun ruolo non potrà visualizzare dati o eseguire azioni in Looker, ma potrà accedere a Looker.

Opzioni di migrazione e integrazione

Accesso alternativo per amministratori e utenti specificati

  • Consenti un accesso basato su email alternativo per gli amministratori e per gli utenti con l'autorizzazione login_special_email. Per saperne di più sull'impostazione di questa autorizzazione, consulta la documentazione sui ruoli. Questa opzione viene visualizzata nella pagina di accesso di Looker se è attiva e se l'utente dispone dell'autorizzazione appropriata.
  • Questa opzione è utile come riserva durante la configurazione di LDAP, se in seguito si verificano problemi di configurazione di LDAP o se devi supportare alcuni utenti che non si trovano nella directory LDAP.
  • Gli accessi via email/password di Looker sono sempre disattivati per gli utenti normali quando LDAP è abilitato.

Unisci per email

  • Questa opzione consente a Looker di unire i nuovi utenti LDAP agli account Looker esistenti, in base all'indirizzo email.
  • Se Looker non riesce a trovare un indirizzo email corrispondente, verrà creato un nuovo account per l'utente.

Salva e applica le impostazioni

Una volta inseriti i dati e tutti i test sono stati superati, seleziona Ho confermato la configurazione qui sopra e vuoi abilitarla a livello globale e fai clic su Aggiorna impostazioni per salvare.