: Si la page LDAP ne s'affiche pas dans la section Authentication du menu Admin , ouvrez une demande d'assistance dans Looker Centre d'aide.
La page LDAP de la section Authentication (Authentification) du menu Admin vous permet de configurer Looker pour authentifier les utilisateurs avec le protocole LDAP (Lightweight Directory Access Protocol). Cette page décrit ce processus et explique comment associer des groupes LDAP à des rôles et des autorisations Looker.
Voici quelques points à retenir :
Soyez prudent si vous désactivez l'authentification LDAP
Si vous êtes connecté à Looker à l'aide de LDAP et que vous souhaitez désactiver l'authentification LDAP, veillez à effectuer d'abord les deux étapes suivantes:
Assurez-vous de disposer d'autres identifiants pour vous connecter.
Activez l'option Alternate Login (Autre connexion) sur la page de configuration LDAP.
Sinon, vous risquez de bloquer votre accès et celui des autres utilisateurs à Looker.
Comment profiter de cette fonctionnalité ?
Accédez à la page LDAP Authentication (Authentification LDAP) dans la section Admin de Looker pour afficher les options de configuration suivantes.
Configurer votre connexion
Looker est compatible avec le transport/le chiffrement avec LDAP en clair et LDAP avec TLS. Il est vivement recommandé d'utiliser le protocole LDAP sur TLS. StartTLS et les autres schémas de chiffrement ne sont pas compatibles.
Saisissez les informations concernant l'hôte et le port .
Cochez la case TLS si vous utilisez LDAP sur TLS.
Si vous utilisez LDAP sur TLS, Looker applique la vérification des certificats par défaut. Si vous devez désactiver la validation du certificat de pair, cochez la case Non valider .
Cliquez sur Test Connection (Tester la connexion). Si des erreurs s'affichent, corrigez-les avant de continuer.
Authentification de la connexion
Looker nécessite l'accès à un compte LDAP protégé par mot de passe. Le compte LDAP doit disposer d'un accès en lecture aux entrées de contacts et à un nouvel ensemble d'entrées de rôle. Le compte LDAP Looker ne nécessite aucun accès en écriture (ni accès à tout autre aspect du répertoire) et l'espace de noms dans lequel le compte est créé n'a pas d'importance.
Saisissez le mot de passe .
[Facultatif] Cochez la case Force No Paging (Forcer l'absence de pagination) si votre fournisseur LDAP ne fournit pas de résultats paginés. Dans certains cas, cela peut s'avérer utile si vous n'obtenez aucune correspondance lorsque vous recherchez des utilisateurs, bien que ce ne soit pas la seule solution à un tel problème.
Cliquez sur le bouton Tester l'authentification . Si des erreurs sont détectées, assurez-vous que vos informations d'authentification sont correctes. Si vos identifiants sont valides, mais que des erreurs persistent, contactez l'administrateur LDAP de votre entreprise.
Paramètres de la liaison utilisateur
Les détails de cette section indiquent comment Looker trouvera les utilisateurs dans votre répertoire, s'authentifiera et extrairea les informations utilisateur.
Définissez le nom de domaine de base , qui correspond à la base de l'arborescence de recherche pour tous les utilisateurs.
[Facultatif] Spécifiez une classe d'objets utilisateur qui contrôle les types de résultats que Looker recherchera et renverra. Cela s'avère utile si le nom distinctif de base est un mélange de types d'objets (personnes, groupes, imprimantes, etc.) et que vous ne souhaitez renvoyer que des entrées d'un seul type.
Définissez les attributs de connexion afin de définir les attributs que les utilisateurs utiliseront pour se connecter. Ces identifiants doivent être uniques pour chaque utilisateur et doivent correspondre à un identifiant que vos utilisateurs connaissent dans votre système. Par exemple, vous pouvez choisir un ID utilisateur ou une adresse e-mail complète. Si vous ajoutez plusieurs attributs, Looker les recherchera pour trouver l'utilisateur approprié. Assurez-vous de sélectionner les champs appropriés ici. Si vous utilisez deux prénoms, par exemple, Jennifer Smiths, etc., vous ne pourrez pas utiliser de prénom ou de nom.
Renseignez les champs Adresse e-mail , Prénom et Nom . Ces informations indiquent à Looker comment mapper ces champs et extraire leurs informations au moment de la connexion.
Définissez l'ID d'identifiant , qui indique un champ que Looker doit utiliser comme ID unique pour les utilisateurs. Il s'agit généralement de l'un des champs de connexion.
(Facultatif) Saisissez un filtre personnalisé facultatif qui vous permet de fournir des filtres LDAP arbitraires qui seront appliqués lors de la recherche d'un utilisateur à lier lors de l'authentification LDAP. Cette option est utile si vous souhaitez exclure des ensembles d'enregistrements utilisateur, tels que les utilisateurs désactivés ou ceux appartenant à une autre organisation.
Exemple
Cet exemple d'entrée utilisateur ldiff montre comment définir les paramètres Looker correspondants:
Entrée utilisateur Ldiff
dn: cn=mward,ou=People,dc=example,dc=com
objectClass: person
objectClass: inetOrgPerson
objectClass: organizationalPerson
objectClass: top
cn: mward
userpassword: normal
givenname: Marcus
telephonenumber: +1 408 555 5688
sn: Ward
mail: mward@example.com
ou: People
Paramètres Looker correspondants
Base DN: ou=People,dc=looker,dc=com
User Object Class: person
Login Attrs: cn
Email Attr: mail
First Name Attr: givenname
Last Name Attr: sn
ID Attr: cn
Associer les attributs utilisateur LDAP aux attributs utilisateur Looker
Vous pouvez éventuellement utiliser les données de vos attributs utilisateur LDAP pour renseigner automatiquement les valeurs des attributs utilisateur Looker lorsqu'un utilisateur se connecte. Par exemple, si vous avez configuré LDAP pour établir des connexions spécifiques à l'utilisateur vers votre base de données, vous pouvez associer vos attributs utilisateur LDAP à ceux de Looker pour rendre vos connexions de base de données spécifiques à l'utilisateur dans Looker.
Notez que l'attribut LDAP doit être un attribut utilisateur, et non un attribut de groupe.
Pour associer les attributs utilisateur LDAP aux attributs utilisateur Looker correspondants:
Saisissez le nom de l'attribut utilisateur LDAP dans le champ Attribut utilisateur LDAP et le nom de l'attribut utilisateur Looker à associer dans le champ Attributs utilisateur Looker .
Cochez Obligatoire si vous souhaitez qu'une valeur d'attribut LDAP autorise un utilisateur à se connecter.
Cliquez sur + , puis répétez ces étapes pour ajouter d'autres paires d'attributs.
Saisissez les identifiants d'un utilisateur test, puis cliquez sur le bouton Tester l'authentification de l'utilisateur . Looker va tenter une séquence d'authentification LDAP complète et afficher le résultat. Si l'opération réussit, Looker renvoie les informations utilisateur à partir du répertoire, ainsi que des informations de trace concernant le processus d'authentification, ce qui peut aider à résoudre les problèmes de configuration.
Vérifiez que l'authentification a réussi et que tous les champs sont correctement mappés . Par exemple, vérifiez que le champ first_name
ne contient pas de valeur appartenant à last_name
.
Remarque :Vous pouvez tester n'importe quel utilisateur de votre système en saisissant uniquement l'ID utilisateur , en omettant le mot de passe utilisateur , puis en cliquant sur Tester les informations utilisateur . Le mappage va être testé, mais pas l'authentification.
Groupes et rôles
Vous pouvez configurer Looker pour qu'il crée des groupes qui reflètent vos groupes LDAP gérés en externe, puis vous pouvez attribuer des rôles Looker aux utilisateurs en fonction de leurs groupes LDAP en miroir. Lorsque vous apportez des modifications à l'appartenance à un groupe LDAP, elles sont automatiquement propagées dans la configuration des groupes de Looker.
La mise en miroir des groupes LDAP vous permet de gérer les utilisateurs et les groupes Looker à l'aide de l'annuaire LDAP défini en externe. Vous pouvez ainsi gérer l'appartenance à des groupes pour plusieurs outils SaaS (Software as a Service, par exemple) tels que Looker.
Si vous activez l'option Dupliquer des groupes LDAP , Looker crée un groupe Looker pour chaque groupe LDAP introduit dans le système. Ces groupes Looker sont visibles sur la page Groupes de la section Administration de Looker. Les groupes permettent d'attribuer des rôles aux membres d'un groupe, de définir des contrôles d'accès au contenu et d'attribuer des attributs utilisateur .
Groupes et rôles par défaut
Par défaut, l'option Dupliquer les groupes LDAP est désactivée. Dans ce cas, vous pouvez définir un groupe par défaut pour les nouveaux utilisateurs LDAP. Dans les champs Nouveaux groupes d'utilisateurs et Nouveaux rôles utilisateur , saisissez le nom des groupes ou rôles Looker auxquels vous souhaitez attribuer de nouveaux utilisateurs Looker lors de leur première connexion à Looker:
Ces groupes et ces rôles sont appliqués aux nouveaux utilisateurs lors de leur première connexion. Les groupes et les rôles ne s'appliquent pas aux utilisateurs préexistants. Ils ne le sont pas non plus s'ils sont supprimés après la première connexion des utilisateurs.
Si vous activez ultérieurement la mise en miroir des groupes LDAP, ces valeurs par défaut seront supprimées pour les utilisateurs lors de leur prochaine connexion et remplacées par les rôles attribués dans la section Dupliquer les groupes LDAP . Ces options par défaut ne seront plus disponibles ni attribuées. Elles seront entièrement remplacées par la configuration des groupes en miroir.
Activer les groupes LDAP en miroir
Si vous choisissez de dupliquer vos groupes LDAP dans Looker, activez l'option Mirror LDAP Groups (Dupliquer les groupes LDAP). Looker affiche les paramètres suivants:
Stratégie de l'outil de recherche de groupes : choisissez une option dans la liste déroulante pour indiquer à Looker comment trouver les groupes d'un utilisateur:
Groupes ont des attributs de membre : il s'agit de l'option la plus courante. Lorsque vous recherchez un membre de groupe, Looker ne renvoie que les groupes auxquels un utilisateur est directement affecté. Par exemple, si un utilisateur est membre du groupe Database-Admin, et que ce dernier est membre du groupe Engineering, l'utilisateur obtient uniquement les autorisations du groupe Database-Admin.
Groups Have Member Attributes (deep search) (Groupes ont des attributs de membre (recherche approfondie)) : cette option permet aux groupes d'être membres d'autres groupes, ce que l'on appelle parfois groupes imbriqués LDAP . Cela signifie qu'un utilisateur peut disposer des autorisations de plusieurs groupes. Par exemple, si un utilisateur est membre du groupe Database-Admin, et si ce groupe est membre du groupe d'ingénierie, il obtient les autorisations affiliées aux deux groupes. Notez que certains serveurs LDAP (en particulier Microsoft Active Directory) sont compatibles avec l'exécution automatique de ce type de recherche approfondie, même lorsque l'appelant effectue une recherche superficielle. Vous pouvez également utiliser cette méthode pour effectuer une recherche approfondie.
Nom unique de base : il permet d'affiner la recherche. Il peut être identique au nom distinctif de base (Base DN ) spécifié dans la section User Binding Settings (Paramètres de liaison de l'utilisateur), ci-dessus.
Groupes d'objets Groupes : ce paramètre est facultatif. Comme indiqué dans la section Paramètres de liaison utilisateur , les résultats renvoyés par Looker peuvent être limités à un type d'objet ou à un ensemble de types particulier.
Group Member Attr : attribut qui, pour chaque groupe, détermine les objets (dans ce cas, probablement les personnes) qui sont membres.
Group User Attr : nom de l'attribut utilisateur LDAP dont la valeur sera recherchée dans les entrées Group pour déterminer si un utilisateur fait partie du groupe. La valeur par défaut est dn
(ce qui signifie qu'il est vide, ce qui revient à le définir sur dn
). Par conséquent, LDAP utilise le nom distinctif complet, qui est la chaîne sensible à la casse qui apparaît dans la recherche LDAP même pour rechercher des entrées de groupe.
Nom de groupe/Rôles/Nom distinctif de groupe : cet ensemble de champs vous permet d'attribuer un nom de groupe personnalisé et un ou plusieurs rôles attribués au groupe LDAP correspondant dans Looker:
Saisissez le nom distinctif du groupe LDAP dans le champ Group DN (Nom distinctif du groupe). Ce nom doit inclure le nom distinctif complet, c'est-à-dire la chaîne exacte sensible dans la casse qui figurerait dans la recherche LDAP elle-même. Les utilisateurs LDAP inclus dans le groupe LDAP seront ajoutés au groupe en miroir dans Looker.
Saisissez un nom personnalisé pour le groupe en miroir dans le champ Nom personnalisé . Il s'agit du nom qui sera affiché sur la page Groupes de la section Administration de Looker.
Dans le champ situé à droite du champ Nom personnalisé , sélectionnez un ou plusieurs rôles Looker ; ils seront attribués à chaque utilisateur du groupe.
Cliquez sur +
pour ajouter d'autres champs afin de configurer d'autres groupes en miroir. Si vous avez configuré plusieurs groupes et que vous souhaitez supprimer la configuration d'un groupe, cliquez sur X
à côté de l'ensemble de champs de ce groupe.
Si vous modifiez un groupe en miroir précédemment configuré dans cet écran, la configuration du groupe changera, mais le groupe lui-même restera intact. Par exemple, vous pouvez modifier le nom personnalisé d'un groupe, ce qui modifie l'apparence du groupe sur la page Groupes de Looker, mais pas les rôles et les membres de groupe attribués. Si vous modifiez le nom distinctif du groupe , le nom et les rôles du groupe sont conservés, mais les membres sont réattribués en fonction des utilisateurs du groupe LDAP externe qui disposent du nouveau nom distinctif du groupe LDAP.
Si vous supprimez un groupe de cette page, il ne sera plus dupliqué dans Looker, et ses membres ne pourront plus se voir attribuer les rôles dans Looker via ce groupe.
Toutes les modifications apportées à un groupe en miroir seront appliquées aux utilisateurs de ce groupe lors de leur prochaine connexion à Looker.
Gestion avancée des rôles
Si vous avez activé le basculement Mirror LDAP Groups (Dupliquer les groupes LDAP), Looker affiche ces paramètres. Les options de cette section déterminent la flexibilité des administrateurs Looker pour la configuration de groupes et d'utilisateurs Looker dupliqués depuis LDAP.
Par exemple, si vous souhaitez que votre configuration utilisateur et votre groupe Looker correspondent strictement à votre configuration LDAP, activez ces options. Lorsque les trois premières options sont activées, les administrateurs Looker ne peuvent pas modifier l'appartenance aux groupes en miroir et ne peuvent attribuer des rôles qu'aux utilisateurs via des groupes en miroir LDAP.
Si vous souhaitez bénéficier d'une plus grande flexibilité pour personnaliser davantage vos groupes dans Looker, désactivez ces options. Vos groupes Looker refléteront toujours votre configuration LDAP, mais vous pourrez gérer des groupes et des utilisateurs supplémentaires dans Looker, par exemple ajouter des utilisateurs LDAP à des groupes spécifiques à Looker ou attribuer des rôles Looker directement aux utilisateurs LDAP.
Ces options sont désactivées par défaut pour les nouvelles instances Looker ou les instances pour lesquelles aucun groupe n'a été précédemment mis en miroir.
Ces options sont activées par défaut pour les instances Looker existantes pour lesquelles des groupes en miroir sont actuellement configurés.
Remarque : L'activation de paramètres plus restrictifs perdra l'appartenance à des groupes ou l'attribution de rôles directement configurés dans Looker . Cela se produit la prochaine fois que ces utilisateurs se connectent à Looker.
La section Gestion avancée des rôles contient les options suivantes:
Empêcher les utilisateurs LDAP individuels de recevoir des rôles directs : activez cette option pour empêcher les administrateurs Looker d'attribuer directement des rôles Looker aux utilisateurs LDAP. Les utilisateurs LDAP recevront des rôles uniquement via leurs adhésions à des groupes. Si les utilisateurs LDAP sont autorisés à rejoindre des groupes Looker natifs (non mis en miroir), ils peuvent toujours hériter de leurs rôles à la fois des groupes LDAP en miroir et des groupes Looker natifs. Ces rôles seront supprimés lors de la prochaine connexion des utilisateurs LDAP.
Si cette option est désactivée, les administrateurs Looker peuvent attribuer des rôles Looker directement aux utilisateurs LDAP, comme s'il s'agissait d'utilisateurs configurés de manière native dans Looker.
Empêcher l'appartenance directe à des groupes non LDAP : l'activation de cette option empêche les administrateurs Looker d'ajouter directement des utilisateurs LDAP à des groupes Looker natifs. Si les groupes LDAP en miroir sont autorisés à être membres de groupes Looker natifs, les utilisateurs LDAP peuvent conserver leur appartenance à n'importe quel groupe Looker parent. Tous les utilisateurs LDAP précédemment attribués à des groupes Looker natifs seront supprimés de ces groupes lors de leur prochaine connexion.
Si cette option est désactivée, les administrateurs Looker peuvent ajouter des utilisateurs LDAP directement aux groupes Looker natifs.
Prevent Role Inheritance from non-LDAP Groups (Empêcher l'héritage des rôles des groupes non LDAP) : activez cette option pour empêcher les membres de groupes LDAP mis en miroir d'hériter des rôles des groupes Looker natifs. Les utilisateurs LDAP qui ont précédemment hérité des rôles d'un groupe Looker parent perdront ces rôles lors de leur prochaine connexion.
Si cette option est désactivée, les groupes LDAP en miroir ou les utilisateurs LDAP ajoutés en tant que membres d'un groupe Looker natif héritent des rôles attribués au groupe Looker parent.
Authentification requise pour un rôle : si cette option est activée, un rôle doit être attribué aux utilisateurs LDAP. Les utilisateurs LDAP qui n'ont pas de rôle ne pourront pas se connecter à Looker.
Si cette option est désactivée, les utilisateurs LDAP peuvent s'authentifier auprès de Looker même s'ils n'ont pas de rôle attribué. Un utilisateur sans rôle ne pourra pas voir les données ni effectuer d'action dans Looker, mais il pourra se connecter à Looker.
Options de migration et d'intégration
Important : Looker vous recommande d'activer les deux options de migration et d'intégration.
Connexion alternative pour les administrateurs et les utilisateurs spécifiés
Autorisez une autre connexion par e-mail pour les administrateurs et les utilisateurs disposant de l'autorisation login_special_email
(pour en savoir plus sur la définition de cette autorisation, consultez la documentation sur les rôles ). Cette option apparaît sur la page de connexion de Looker si vous l'avez activée et si l'utilisateur dispose de l'autorisation appropriée.
Cette option peut s'avérer utile lors de la configuration LDAP, si des problèmes de configuration LDAP surviennent ultérieurement ou si vous devez fournir une assistance à des utilisateurs qui ne figurent pas dans votre annuaire LDAP.
Les connexions à une adresse e-mail/mot de passe Looker sont toujours désactivées pour les utilisateurs standards lorsque LDAP est activé.
Fusionner par adresse e-mail
Cette option permet à Looker de fusionner les nouveaux utilisateurs LDAP avec leurs comptes Looker existants, en fonction de l'adresse e-mail.
Si Looker ne trouve pas d'adresse e-mail correspondante, un compte est créé pour l'utilisateur.
Enregistrer et appliquer les paramètres
Important : Veillez à tester soigneusement vos paramètres avant de les vérifier. Nous vous recommandons d'activer l'option de connexion alternative jusqu'à ce que vous ayez vérifié que ces paramètres fonctionnent correctement. Sinon, vous risquez de bloquer votre accès et celui des autres utilisateurs à Looker.
Une fois que vous avez saisi vos informations et que les tests sont concluants, cochez la case J'ai confirmé la configuration ci-dessus et je souhaite activer son application globalement , puis cliquez sur Mettre à jour les paramètres pour enregistrer.