LDAP-Authentifizierung

Auf der Seite LDAP im Abschnitt Authentifizierung des Menüs Admin können Sie Looker so konfigurieren, dass Nutzer mit LDAP (Lightweight Directory Access Protocol) authentifiziert werden. Auf dieser Seite wird dieser Prozess beschrieben und Sie erfahren, wie Sie LDAP-Gruppen mit Looker-Rollen und -Berechtigungen verknüpfen.

Denken Sie daran:

  • Bei der Looker-Authentifizierung wird die einfache Authentifizierung von LDAP verwendet. Anonyme Authentifizierung wird nicht unterstützt.
  • Sie müssen ein einzelnes LDAP-Nutzerkonto erstellen, das Leseberechtigungen für Nutzereinträge und Gruppeneinträge hat, die von Looker verwendet werden.
  • Looker liest nur aus dem LDAP-Verzeichnis (keine Schreibvorgänge).
  • Looker kann vorhandene Konten mithilfe von E-Mail-Adressen zu LDAP migrieren.
  • Die Nutzung der Looker API interagiert nicht mit der LDAP-Authentifizierung.
  • Wenn Ihr LDAP-Server IP-Traffic einschränkt, müssen Sie IP-Adressen von Looker der IP-Zulassungsliste des LDAP-Servers oder den Regeln für eingehenden Traffic hinzufügen.
  • LDAP überschreibt die Zwei-Faktor-Authentifizierung. Wenn Sie zuvor die Bestätigung in zwei Schritten aktiviert haben, werden Ihren Nutzern nach der Aktivierung von LDAP die Anmeldebildschirme für die Bestätigung in zwei Schritten nicht mehr angezeigt.

Seien Sie vorsichtig, wenn Sie die LDAP-Authentifizierung deaktivieren

Wenn Sie über Looker in Looker angemeldet sind und die LDAP-Authentifizierung deaktivieren möchten, führen Sie zuerst beide der folgenden Schritte aus:

  • Achten Sie darauf, dass Sie weitere Anmeldedaten haben.
  • Aktivieren Sie auf der LDAP-Konfigurationsseite die Option Alternative Anmeldung.

Andernfalls können Sie sich und andere Nutzer aus Looker ausschließen.

Erste Schritte

Rufen Sie in Looker im Abschnitt Admin die Seite LDAP-Authentifizierung auf, um die folgenden Konfigurationsoptionen zu sehen.

Verbindung einrichten

Looker unterstützt Transport/Verschlüsselung mit LDAP in der Klarheit und LDAP über TLS. LDAP über TLS wird dringend empfohlen. StartTLS und andere Verschlüsselungsschemas werden nicht unterstützt.

  1. Geben Sie die Informationen für Host und Port ein.
  2. Klicken Sie das Kästchen neben TLS an, wenn Sie LDAP über TLS verwenden.
  3. Wenn Sie LDAP über TLS verwenden, erzwingt Looker standardmäßig die Prüfung von Peer-Zertifikaten. Wenn Sie die Überprüfung von Peer-Zertifikaten deaktivieren möchten, klicken Sie auf NoVerify (Keine Bestätigung).
  4. Klicken Sie auf Test Connection. Korrigieren Sie eventuelle Fehler, bevor Sie fortfahren.

Verbindungsauthentifizierung

Looker erfordert Zugriff auf ein passwortgeschütztes LDAP-Konto. Das LDAP-Konto sollte Lesezugriff auf Personeneinträge und neue Rolleneinträge haben. Für das Looker-LDAP-Konto ist weder Schreibzugriff noch sonstiger Zugriff auf das Verzeichnis erforderlich. Außerdem spielt es keine Rolle, in welchem Namespace das Konto erstellt wird.

  1. Geben Sie das Passwort ein.
  2. [Optional] Klicken Sie das Kästchen Kein Paging erzwingen an, wenn Ihr LDAP-Anbieter keine Seitenergebnisse liefert. In einigen Fällen kann dies hilfreich sein, wenn Sie bei der Suche nach Nutzern keine Übereinstimmungen erhalten, obwohl dies nicht die einzige Lösung für ein solches Problem ist.
  3. Klicken Sie auf die Schaltfläche Test Authentication (Authentifizierung testen). Falls Fehler angezeigt werden, prüfen Sie, ob Ihre Authentifizierungsinformationen korrekt sind. Wenn Ihre Anmeldedaten gültig sind, aber weiterhin Fehler auftreten, wenden Sie sich an den LDAP-Administrator Ihres Unternehmens.

Einstellungen für die Nutzerbindung

Die Details in diesem Abschnitt geben an, wie Looker Nutzer in Ihrem Verzeichnis findet, zur Authentifizierung bindet und Nutzerinformationen extrahiert.

  1. Legen Sie den Basis-DN fest, der die Basis des Suchbaums für alle Nutzer darstellt.
  2. [Optional] Geben Sie eine User Object Class an, die die Arten von Ergebnissen steuert, die Looker findet und zurückgibt. Dies ist nützlich, wenn der Basis-DN eine Mischung aus Objekttypen (Personen, Gruppen, Drucker usw.) ist und Sie nur Einträge eines Typs zurückgeben möchten.
  3. Legen Sie die Attraktivität der Anmeldung fest. Damit werden die Attribute definiert, die Ihre Nutzer zur Anmeldung verwenden. Diese müssen für jeden Nutzer eindeutig sein und den Nutzer bereits als ID in Ihrem System kennen. Beispielsweise können Sie eine Nutzer-ID oder eine vollständige E-Mail-Adresse auswählen. Wenn Sie mehr als ein Attribut hinzufügen, durchsucht Looker beide nach dem entsprechenden Nutzer. Bitte wählen Sie hier die entsprechenden Felder aus. Die Verwendung von Vor- und Nachname funktioniert nicht, sobald Sie zwei Jennifer Schmidt haben.
  4. Geben Sie die Felder Email Attr (E-Mail-Attraktivität), First Name Attr (Vornamen-Attr.) und Last Name Attr (Nachname des Attrakts) an. Anhand dieser Informationen wird Looker mitgeteilt, wie diese Felder zugeordnet und die Informationen bei der Anmeldung extrahiert werden sollen.
  5. Legen Sie die ID Attr fest. Damit geben Sie ein Feld an, das Looker selbst als eindeutige ID für Nutzer verwenden soll. Dies ist in der Regel eines der Anmeldefelder.
  6. Geben Sie optional einen optionalen benutzerdefinierten Filter ein. Damit können Sie beliebige LDAP-Filter angeben, die angewendet werden, wenn nach einem Nutzer während der LDAP-Authentifizierung gesucht wird. Das ist nützlich, wenn Sie Gruppen von Nutzereinträgen herausfiltern möchten, z. B. deaktivierte Nutzer oder Nutzer in einer anderen Organisation.

Beispiel

Im folgenden Beispiel für einen ldiff-Nutzereintrag sehen Sie, wie die entsprechenden Looker-Einstellungen festgelegt werden:

Ldiff-Nutzereintrag

dn: cn=mward,ou=People,dc=example,dc=com
objectClass: person
objectClass: inetOrgPerson
objectClass: organizationalPerson
objectClass: top
cn: mward
userpassword: normal
givenname: Marcus
telephonenumber: +1 408 555 5688
sn: Ward
mail: mward@example.com
ou: People

Zugehörige Looker-Einstellungen

Base DN: ou=People,dc=looker,dc=com
User Object Class: person
Login Attrs: cn
Email Attr: mail
First Name Attr: givenname
Last Name Attr: sn
ID Attr: cn

LDAP-Nutzerattribute mit Looker-Nutzerattributen koppeln

Optional können Sie die Daten in Ihren LDAP-Nutzerattributen verwenden, um die Werte in Looker-Nutzerattributen automatisch auszufüllen, wenn sich ein Nutzer anmeldet. Wenn Sie beispielsweise LDAP für nutzerspezifische Verbindungen zu Ihrer Datenbank konfiguriert haben, können Sie Ihre LDAP-Nutzerattribute mit Looker-Nutzerattributen koppeln, um Ihre Datenbankverbindungen in Looker nutzerspezifisch zu machen.

Beachten Sie, dass das LDAP-Attribut ein Nutzerattribut und kein Gruppenattribut sein muss.

So koppeln Sie LDAP-Nutzerattribute mit den entsprechenden Looker-Nutzerattributen:

  1. Geben Sie im Feld LDAP-Nutzerattribut den Namen des LDAP-Nutzerattributs und im Feld Looker-Nutzerattribute den Namen des Looker-Nutzerattributs ein, mit dem Sie es koppeln möchten.
  2. Klicken Sie das Kästchen Erforderlich an, wenn ein Nutzer sich bei einem LDAP-Attribut anmelden muss.
  3. Klicken Sie auf + und wiederholen Sie diese Schritte, um weitere Attributpaare hinzuzufügen.

Nutzerinformationen testen

  1. Geben Sie die Anmeldedaten eines Testnutzers ein und klicken Sie auf die Schaltfläche Testnutzerauthentifizierung. Looker versucht, eine vollständige LDAP-Authentifizierungssequenz durchzuführen, und zeigt das Ergebnis an. Bei Erfolg gibt Looker die Nutzerinformationen aus dem Verzeichnis sowie einige Trace-Informationen zum Authentifizierungsprozess aus, die bei der Lösung von Konfigurationsproblemen helfen können.
  2. Prüfen Sie, ob die Authentifizierung erfolgreich ist und ob alle Felder korrekt zugeordnet sind. Achten Sie beispielsweise darauf, dass das Feld first_name keinen Wert enthält, der zu last_name gehört.

Gruppen und Rollen

Sie können Looker so konfigurieren, dass Gruppen erstellt werden, die Ihre extern verwalteten LDAP-Gruppen widerspiegeln. Anschließend können Sie Nutzern auf Grundlage ihrer gespiegelten LDAP-Gruppen Looker zuweisen. Wenn Sie Änderungen an Ihrer LDAP-Gruppenmitgliedschaft vornehmen, werden diese Änderungen automatisch in die Gruppenkonfiguration von Looker übernommen.

Mit der Spiegelung von LDAP-Gruppen können Sie Looker-Gruppen und -Nutzer mithilfe Ihres extern definierten LDAP-Verzeichnisses verwalten. Dadurch können Sie Ihre Gruppenmitgliedschaft für mehrere SaaS-Tools (Software as a Service) wie Looker an einem Ort verwalten.

Wenn Sie die Option LDAP-Gruppen spiegeln aktivieren, erstellt Looker eine Looker-Gruppe für jede LDAP-Gruppe, die in das System eingeführt wird. Sie können diese Looker-Gruppen in Looker auf der Seite Gruppen des Abschnitts Admin aufrufen. Mit Gruppen können Sie Gruppenrollen zuweisen, Zugriffssteuerungen für Inhalte festlegen und Nutzerattribute zuweisen.

Standardgruppen und -rollen

Der Schalter LDAP-Gruppen spiegeln ist standardmäßig deaktiviert. In diesem Fall können Sie eine Standardgruppe für neue LDAP-Nutzer festlegen. Geben Sie in den Feldern Neue Nutzergruppen und Neue Nutzerrollen die Namen der Looker-Gruppen oder -Rollen ein, denen Sie neue Looker-Nutzer zuweisen möchten, wenn sie sich zum ersten Mal in Looker anmelden.

Diese Gruppen und Rollen werden bei der ersten Anmeldung auf neue Nutzer angewendet. Die Gruppen und Rollen werden nicht auf vorhandene Nutzer angewendet und sie werden nicht noch einmal zugewiesen, wenn sie nach der ersten Anmeldung aus den Nutzern entfernt werden.

Wenn Sie später gespiegelte LDAP-Gruppen aktivieren, werden diese Standardeinstellungen für Nutzer bei der nächsten Anmeldung entfernt und durch die Rollen ersetzt, die im Abschnitt LDAP-Gruppen spiegeln zugewiesen sind. Diese Standardoptionen sind nicht mehr verfügbar oder zugewiesen und werden vollständig durch die Konfiguration der gespiegelten Gruppen ersetzt.

Spiegel-LDAP-Gruppen aktivieren

Wenn Sie Ihre LDAP-Gruppen in Looker spiegeln möchten, aktivieren Sie den Schalter LDAP-Gruppen spiegeln. Looker zeigt diese Einstellungen an:

Gruppenfinder-Strategie: Wählen Sie im Drop-down-Menü eine Option aus, um Looker mitzuteilen, wie Sie die Gruppen eines Nutzers finden können:

  • Gruppenattribute von Mitgliedern: Dies ist die üblichere Option. Bei der Suche nach einem Gruppenmitglied gibt Looker nur die Gruppen zurück, denen ein Nutzer direkt zugewiesen ist. Wenn ein Nutzer beispielsweise ein Mitglied der Gruppe „Datenbank-Administrator“ und die Gruppe „Datenbank-Administrator“ ein Mitglied der Gruppe „Technik“ ist, erhält ein Nutzer nur die Berechtigungen, die mit der Gruppe „Datenbank-Administrator“ verknüpft sind.

  • Gruppen haben Mitgliederattribute (tiefe Suche): Mit dieser Option können Gruppen Mitglieder anderer Gruppen werden, die manchmal als verschachtelte LDAP-Gruppen bezeichnet werden. Das bedeutet, dass ein Nutzer die Berechtigungen für mehr als eine Gruppe haben kann. Wenn ein Nutzer beispielsweise Mitglied der Gruppe „Datenbank-Administrator“ und die Gruppe „Datenbank-Administrator“ Mitglied der Gruppe „Technik“ ist, erhält ein Nutzer die Berechtigungen, die mit beiden Gruppen verknüpft sind. Beachten Sie, dass einige LDAP-Server (insbesondere Microsoft Active Directory) Unterstützung für diese Art von Deep Search bieten, auch wenn der Aufrufer eine Suche durchführt, die wie eine flache Suche aussieht. Das ist möglicherweise eine weitere Methode, mit der Sie eine tiefgehende Suche durchführen können.

Base DN (Basis-DN): Hiermit können Sie die Suche eingrenzen. Sie kann mit dem Base-DN übereinstimmen, der oben im Bereich Einstellungen für die Nutzerbindung angegeben wurde.

Group Object(s): Diese Einstellung ist optional. Wie im Abschnitt Einstellungen für die Nutzerbindung erwähnt, können die Ergebnisse, die Looker zurückgibt, auf einen bestimmten Objekttyp oder eine Gruppe von Typen beschränkt werden.

Member Member Attr: Das Attribut, das für jede Gruppe die Objekte (in diesem Fall wahrscheinlich die Personen) bestimmt, die ein Mitglied sind.

Gruppennutzer-Attr: Der Name des LDAP-Nutzerattributs, dessen Wert in den Gruppeneinträgen gesucht wird, um festzustellen, ob ein Nutzer Teil der Gruppe ist. Der Standardwert ist dn. Wenn Sie das Feld leer lassen, entspricht dies der Einstellung dn. Das führt dazu, dass LDAP für die Suche nach Gruppeneinträgen der vollständige Distinguished Name verwendet, bei dem es sich um die genaue Groß- und Kleinschreibung handelt, die in der LDAP-Suche selbst vorhanden ist.

Bevorzugter Gruppenname/Rollen/Gruppen-DN: Mit diesen Feldern können Sie einen benutzerdefinierten Gruppennamen und eine oder mehrere Rollen zuweisen, die der entsprechenden LDAP-Gruppe in Looker zugewiesen sind:

  1. Geben Sie den LDAP-Gruppen-DN in das Feld Gruppen-DN ein. Hier sollte der vollständige Distinguished Name enthalten sein. Das ist der String, der in der LDAP-Suche selbst zwischen Groß- und Kleinschreibung unterscheidet. LDAP-Nutzer, die in der LDAP-Gruppe enthalten sind, werden in Looker zur Spiegelgruppe hinzugefügt.

  2. Geben Sie in das Feld Benutzerdefinierter Name einen benutzerdefinierten Namen für die gespiegelte Gruppe ein. Das ist der Name, der in Looker auf der Seite Gruppen im Abschnitt Admin angezeigt wird.

  3. Wählen Sie im Feld rechts neben dem Feld Benutzerdefinierter Name eine oder mehrere Looker-Rollen aus, die jedem Nutzer in der Gruppe zugewiesen werden sollen.

  4. Klicken Sie auf +, um weitere Felder hinzuzufügen, um zusätzliche gespiegelte Gruppen zu konfigurieren. Wenn Sie mehrere Gruppen konfiguriert haben und die Konfiguration für eine Gruppe entfernen möchten, klicken Sie neben den Gruppen dieser Gruppe auf X.

Wenn Sie eine gespiegelte Gruppe bearbeiten, die zuvor in diesem Bildschirm konfiguriert wurde, ändert sich die Konfiguration der Gruppe, die Gruppe selbst bleibt jedoch intakt. Beispiel: Sie können den benutzerdefinierten Namen einer Gruppe ändern. Dadurch ändert sich die Darstellung der Gruppe auf der Gruppenseite von Looker, nicht jedoch die zugewiesenen Rollen und Gruppenmitglieder. Wenn Sie den Gruppen-DN ändern, werden der Gruppenname und die Rollen beibehalten, aber die Mitglieder der Gruppe werden basierend auf den Nutzern neu zugewiesen, die Mitglieder der externen LDAP-Gruppe sind, die den neuen LDAP-Gruppen-DN enthält.

Wenn Sie eine Gruppe auf dieser Seite löschen, wird sie nicht mehr in Looker gespiegelt und ihren Mitgliedern werden in Looker keine Rollen mehr über diese Gruppe zugewiesen.

Alle Änderungen an einer gespiegelten Gruppe werden auf die Nutzer dieser Gruppe angewendet, wenn sie sich das nächste Mal in Looker anmelden.

Erweiterte Rollenverwaltung

Wenn Sie den Schalter LDAP-Gruppen spiegeln aktiviert haben, zeigt Looker diese Einstellungen an. Die Optionen in diesem Abschnitt bestimmen, wie viel Flexibilität Looker-Administratoren beim Konfigurieren von Looker-Gruppen und Nutzern haben, die aus LDAP gespiegelt wurden.

Wenn Sie beispielsweise möchten, dass Ihre Looker-Gruppe und Nutzerkonfiguration genau mit Ihrer LDAP-Konfiguration übereinstimmen, aktivieren Sie diese Optionen. Wenn alle ersten drei Optionen aktiviert sind, können Looker-Administratoren die Mitgliedschaft von Spiegelgruppen nicht ändern und Nutzern nur über LDAP-Spiegelgruppen Rollen zuweisen.

Wenn Sie flexibler sind, um Ihre Gruppen in Looker anzupassen, deaktivieren Sie diese Optionen. Ihre Looker-Gruppen spiegeln weiterhin Ihre LDAP-Konfiguration wider, Sie können jedoch zusätzliche Gruppen- und Nutzerverwaltung in Looker vornehmen, z. B. LDAP-Nutzer zu Looker-spezifischen Gruppen hinzufügen oder Looker-Rollen direkt LDAP-Nutzern zuweisen.

Diese Optionen sind für neue Looker-Instanzen oder Instanzen ohne konfigurierte Spiegelgruppen standardmäßig deaktiviert.

Bei vorhandenen Looker-Instanzen, für die derzeit Spiegelgruppen konfiguriert sind, sind diese Optionen standardmäßig aktiviert.

Der Abschnitt Erweiterte Rollenverwaltung enthält folgende Optionen:

Verhindern, dass einzelne LDAP-Nutzer direkte Rollen erhalten: Wenn Sie diese Option aktivieren, können Looker-Administratoren LDAP-Rollen nicht direkt zuweisen. LDAP-Nutzer erhalten Rollen nur über ihre Gruppenmitgliedschaften. Wenn LDAP-Nutzer Mitglied in nativen (nicht gespiegelten) Looker-Gruppen sind, können sie trotzdem ihre Rollen sowohl aus gespiegelten LDAP-Gruppen als auch aus nativen Looker-Gruppen übernehmen. LDAP-Nutzer, denen zuvor Rollen direkt zugewiesen wurden, werden bei der nächsten Anmeldung entfernt.

Wenn diese Option deaktiviert ist, können Looker-Administratoren Looker-Rollen direkt LDAP-Nutzern zuweisen, so als wären sie nativ in Looker konfiguriert.

Direkte Mitgliedschaft in Nicht-LDAP-Gruppen verhindern: Wenn Sie diese Option aktivieren, können Looker-Administratoren LDAP-Nutzer nicht direkt in Looker-Gruppen aufnehmen. Wenn gespiegelte LDAP-Gruppen Mitglieder nativer Looker-Gruppen sein dürfen, können LDAP-Nutzer die Mitgliedschaft in allen übergeordneten Looker-Gruppen behalten. LDAP-Nutzer, die zuvor nativen Looker-Gruppen zugewiesen waren, werden bei der nächsten Anmeldung aus diesen Gruppen entfernt.

Wenn diese Option deaktiviert ist, können Looker-Administratoren LDAP-Nutzer direkt zu nativen Looker-Gruppen hinzufügen.

Rollenübernahme von Gruppen ohne LDAP verhindern: Wenn Sie diese Option aktivieren, können Mitglieder gespiegelter LDAP-Gruppen Rollen von nativen Looker-Gruppen nicht übernehmen. Alle LDAP-Nutzer, die zuvor Rollen einer übergeordneten Looker-Gruppe übernommen haben, verlieren diese Rollen bei der nächsten Anmeldung.

Wenn diese Option deaktiviert ist, übernehmen gespiegelte LDAP-Gruppen oder LDAP-Nutzer, die als Mitglied einer nativen Looker-Gruppe hinzugefügt werden, die der übergeordneten Looker-Gruppe zugewiesenen Rollen.

Auth erfordert Rolle: Wenn diese Option aktiviert ist, müssen LDAP-Nutzer eine Rolle haben. LDAP-Nutzer, denen keine Rolle zugewiesen ist, können sich überhaupt nicht bei Looker anmelden.

Wenn diese Option deaktiviert ist, können sich LDAP-Nutzer bei Looker authentifizieren, auch wenn ihnen keine Rolle zugewiesen ist. Ein Nutzer, dem keine Rolle zugewiesen ist, kann in Looker keine Daten sehen oder Aktionen ausführen. Er kann sich jedoch in Looker anmelden.

Migrations- und Integrationsoptionen

Alternative Anmeldung für Administratoren und bestimmte Nutzer

  • Alternative E-Mail-basierte Anmeldung für Administratoren und Nutzer mit der Berechtigung login_special_email zulassen (weitere Informationen zum Festlegen dieser Berechtigung in der Rollendokumentation). Diese Option wird auf der Looker-Anmeldeseite angezeigt, wenn Sie sie aktiviert haben und der Nutzer die entsprechenden Berechtigungen hat.
  • Diese Option ist nützlich als Fallback während der LDAP-Einrichtung, wenn LDAP-Konfigurationsprobleme später auftreten oder Sie einige Nutzer unterstützen müssen, die sich nicht in Ihrem LDAP-Verzeichnis befinden.
  • E-Mail-/Passwort-Anmeldungen von Looker sind für normale Nutzer immer deaktiviert, wenn LDAP aktiviert ist.

Per E-Mail zusammenführen

  • Mit dieser Option kann Looker erstmalige LDAP-Nutzer anhand ihrer E-Mail-Adresse mit ihren vorhandenen Looker-Konten zusammenführen.
  • Wenn Looker keine übereinstimmende E-Mail-Adresse findet, wird ein neues Konto für den Nutzer erstellt.

Einstellungen speichern und anwenden

Wenn Sie alle Informationen eingegeben haben und alle Tests bestanden wurden, klicken Sie auf das Kästchen Ich habe die obige Konfiguration bestätigt und sollen sie weltweit anwenden. Klicken Sie zum Speichern auf Einstellungen aktualisieren.