관리 메뉴의 인증 섹션에 LDAP 페이지가 표시되지 않으면 Looker 고객센터
관리 메뉴의 인증 섹션에 있는 LDAP 페이지에서 경량 디렉터리 액세스 프로토콜 (LDAP)을 사용하여 사용자를 인증하도록 Looker를 구성할 수 있습니다. 이 페이지에서는 이 프로세스를 설명하고 LDAP 그룹을 Looker 역할 및 권한에 연결하는 방법을 안내합니다.
주의해야 할 사항은 다음과 같습니다.
- Looker 인증에서는 LDAP의 간단한 인증을 사용합니다. 익명 인증은 지원되지 않습니다.
- 사용자 항목 및 Looker에서 사용할 모든 그룹 항목에 대한 읽기 권한이 있는 단일 LDAP 사용자 계정을 만들어야 합니다.
- Looker는 LDAP 디렉터리에서만 읽습니다 (쓰기 없음).
- Looker에서 이메일 주소를 사용하여 기존 계정을 LDAP로 이전할 수 있습니다.
- Looker API 사용은 LDAP 인증과 상호작용하지 않습니다.
- LDAP 서버가 IP 트래픽을 제한하는 경우 Looker의 IP 주소를 LDAP 서버의 IP 허용 목록 또는 인바운드 트래픽 규칙에 추가해야 합니다.
- LDAP가 2단계 인증을 재정의합니다. 이전에 2단계 인증을 사용하도록 설정한 경우 LDAP를 사용 설정하면 사용자에게 2단계 인증 로그인 화면이 표시되지 않습니다.
LDAP 인증 사용 중지 시 주의
LDAP를 사용하여 Looker에 로그인했고 LDAP 인증을 사용 중지하려면 먼저 다음 단계를 모두 진행해야 합니다.
- 로그인할 다른 사용자 인증 정보가 있는지 확인합니다.
- LDAP 구성 페이지에서 대체 로그인 옵션을 사용 설정합니다.
그러지 않으면 자신과 다른 사용자가 Looker에 액세스할 수 없게 됩니다.
시작하기
Looker의 관리 섹션에 있는 LDAP 인증 페이지로 이동하여 다음 구성 옵션을 확인합니다.
연결 설정
Looker는 일반 LDAP과 TLS를 통한 LDAP를 통한 전송/암호화를 지원합니다. TLS를 통한 LDAP를 사용하는 것이 좋습니다. StartTLS 및 기타 암호화 스키마는 지원되지 않습니다.
- 호스트 및 포트 정보를 입력합니다.
- TLS를 통한 LDAP를 사용하는 경우 TLS 옆의 체크박스를 선택합니다.
- TLS를 통해 LDAP를 사용하는 경우 Looker가 기본적으로 피어 인증서 확인을 시행합니다. 피어 인증서 확인을 사용 중지해야 하는 경우 확인하지 않음을 선택합니다.
- Test Connection(연결 테스트)을 클릭합니다. 오류가 표시되면 계속하기 전에 오류를 수정하세요.
연결 인증
Looker에서 비밀번호로 보호되는 LDAP 계정에 액세스해야 합니다. LDAP 계정에는 사용자 항목 및 새로운 역할 항목 집합에 대한 읽기 액세스 권한이 있어야 합니다. Looker LDAP 계정은 쓰기 액세스 (또는 디렉터리의 다른 측면에 대한 액세스)가 필요하지 않으며 계정이 생성되는 네임스페이스는 중요하지 않습니다.
- 비밀번호를 입력합니다.
- [선택사항] LDAP 제공업체가 페이징된 결과를 제공하지 않는 경우 Paging 사용 안함 체크박스를 선택합니다. 이렇게 하면 사용자를 검색할 때 일치하는 결과가 나오지 않는 경우 문제가 해결될 수도 있지만 이러한 문제에 대한 유일한 해결책은 아닙니다.
- 인증 테스트 버튼을 클릭합니다. 오류가 표시되는 경우 인증 정보가 올바른지 확인하세요. 사용자 인증 정보는 유효하지만 오류가 계속 발생하면 회사의 LDAP 관리자에게 문의하세요.
사용자 결합 설정
이 섹션의 세부정보는 Looker가 디렉터리에서 사용자를 찾고 인증을 위해 결합하고 사용자 정보를 추출하는 방법을 지정합니다.
- 모든 사용자의 검색 트리 기본인 기본 DN을 설정합니다.
- [선택사항] Looker에서 찾고 반환할 결과 유형을 제어하는 User Object Class를 지정합니다. 기본 DN이 객체 유형 (사용자, 그룹, 프린터 등)이 혼합되어 있고 한 유형의 항목만 반환하려는 경우에 유용합니다.
- 사용자가 로그인하는 데 사용할 속성을 정의하는 로그인 속성을 설정합니다. 이는 사용자마다 고유해야 하며 사용자가 시스템 내에서 ID로 익숙해야 합니다. 예를 들어 사용자 ID 또는 전체 이메일 주소를 선택할 수 있습니다. 속성을 2개 이상 추가하면 Looker에서 적절한 사용자를 찾기 위해 두 속성을 모두 검색합니다. 여기에서 적절한 입력란을 선택하세요. 이름 및 성 등을 입력하는 것으로는 제니퍼 스미스의 이름이 2개면 바로 사용할 수 없습니다.
- 이메일 속성, 이름 속성, 성 속성을 지정합니다. 이 정보는 Looker에서 로그인 시 이러한 필드를 매핑하고 정보를 추출하는 방법을 알려줍니다.
- ID 속성을 설정합니다. 이는 Looker 자체에서 사용자의 고유 ID로 사용해야 하는 필드를 나타냅니다. 일반적으로 로그인 필드 중 하나입니다.
- 또는 맞춤 필터(선택사항)를 입력합니다. 이 필터를 사용하면 LDAP 인증 중에 바인딩할 사용자를 검색할 때 적용되는 임의의 LDAP 필터를 제공할 수 있습니다. 이 기능은 사용 중지된 사용자 또는 다른 조직에 있는 사용자와 같은 사용자 레코드 집합을 필터링하려는 경우에 유용합니다.
예
다음 ldiff 사용자 항목의 예시는 상응하는 Looker 설정을 설정하는 방법을 보여줍니다.
Ldiff 사용자 항목
dn: cn=mward,ou=People,dc=example,dc=com
objectClass: person
objectClass: inetOrgPerson
objectClass: organizationalPerson
objectClass: top
cn: mward
userpassword: normal
givenname: Marcus
telephonenumber: +1 408 555 5688
sn: Ward
mail: mward@example.com
ou: People
해당하는 Looker 설정
Base DN: ou=People,dc=looker,dc=com
User Object Class: person
Login Attrs: cn
Email Attr: mail
First Name Attr: givenname
Last Name Attr: sn
ID Attr: cn
LDAP 사용자 속성과 Looker 사용자 속성 페어링
사용자가 로그인하면 LDAP 사용자 속성의 데이터를 사용하여 Looker 사용자 속성의 값을 자동으로 채울 수도 있습니다. 예를 들어 데이터베이스에 사용자 관련 연결을 구성하도록 LDAP를 구성한 경우 LDAP 사용자 속성을 Looker 사용자 속성과 페어링하여 Looker에서 데이터베이스 연결을 사용자 관련으로 지정할 수 있습니다.
LDAP 속성은 그룹 속성이 아니라 사용자 속성이어야 합니다.
LDAP 사용자 속성을 해당 Looker 사용자 속성과 페어링하려면 다음 안내를 따르세요.
- LDAP 사용자 속성 입력란에 LDAP 사용자 속성의 이름을 입력하고 Looker 사용자 속성 입력란에 페어링할 Looker 사용자 속성의 이름을 입력합니다.
- 사용자가 로그인할 수 있도록 LDAP 속성 값을 요구하려면 필수를 선택합니다.
- +를 클릭하고 이 단계를 반복하여 속성 쌍을 추가합니다.
- 테스트 사용자의 사용자 인증 정보를 입력하고 사용자 인증 테스트 버튼을 클릭합니다. Looker에서 전체 LDAP 인증 시퀀스를 시도하고 결과를 표시합니다. 성공하면 Looker가 디렉터리의 사용자 정보와 구성 프로세스 해결에 도움이 되는 인증 프로세스에 대한 추적 정보를 출력합니다.
- 인증이 성공하고 모든 필드가 올바르게 매핑되었는지 확인합니다. 예를 들어
first_name
필드에 last_name
에 속하는 값이 포함되어 있지 않은지 확인합니다.
그룹 및 역할
외부에서 관리하는 LDAP 그룹을 미러링하는 그룹을 만들도록 Looker를 구성한 다음 미러링된 LDAP 그룹에 따라 사용자에게 Looker 역할을 할당할 수 있습니다. LDAP 그룹 멤버십을 변경하면 변경사항이 Looker의 그룹 설정에 자동으로 적용됩니다.
LDAP 그룹을 미러링하면 외부에서 정의된 LDAP 디렉터리를 사용하여 Looker 그룹 및 사용자를 관리할 수 있습니다. 따라서 Looker와 같은 여러 Software as a Service (SaaS) 도구를 한 곳에서 관리할 수 있습니다.
LDAP 그룹 미러링을 사용 설정하면 Looker에서 시스템에 도입된 모든 LDAP 그룹을 대상으로 Looker 그룹 1개를 만듭니다. 이러한 Looker 그룹은 Looker의 관리 섹션의 그룹 페이지에서 볼 수 있습니다. 그룹은 그룹 회원에게 역할을 할당하고, 콘텐츠 액세스 제어를 설정하고, 사용자 속성을 할당하는 데 사용할 수 있습니다.
기본 그룹 및 역할
LDAP 그룹 미러링 스위치는 기본적으로 사용 중지되어 있습니다. 이 경우 새 LDAP 사용자의 기본 그룹을 설정할 수 있습니다. 신규 사용자 그룹 및 새 사용자 역할 입력란에 새로운 Looker 사용자가 Looker에 처음 로그인할 때 할당할 Looker 그룹 또는 역할의 이름을 입력합니다.
이러한 그룹 및 역할은 최초 로그인 시 신규 사용자에게 적용됩니다. 그룹 및 역할은 기존 사용자에게 적용되지 않으며 사용자가 처음 로그인한 후 사용자에서 삭제되면 다시 적용되지 않습니다.
나중에 미러링된 LDAP 그룹을 사용 설정하면 다음 로그인 시 사용자에게 이러한 기본값이 삭제되고 LDAP 그룹 미러링 섹션에 할당된 역할로 대체됩니다. 이 기본 옵션은 더 이상 사용되거나 할당되지 않으며 미러링된 그룹 구성으로 완전히 대체됩니다.
LDAP 그룹 미러링 사용 설정
Looker에서 LDAP 그룹을 미러링하도록 선택한 경우 LDAP 그룹 미러링 스위치를 사용 설정합니다. Looker에 다음 설정이 표시됩니다.
그룹 찾기 전략: 드롭다운에서 옵션을 선택하여 Looker에서 사용자의 그룹을 찾는 방법을 안내합니다.
그룹에 회원 속성 있음: 더 일반적인 옵션입니다. 그룹 회원을 찾을 때 Looker는 사용자에게 직접 할당된 그룹만 반환합니다. 예를 들어 사용자가 Database-Admin 그룹의 구성원이고 Database-Admin 그룹이 엔지니어링 그룹의 구성원인 경우 사용자는 Database-Admin 그룹과 연결된 권한만 받습니다.
그룹에 회원 속성 있음 (심층 검색): 이 옵션을 사용하면 그룹을 다른 그룹의 구성원이 될 수 있으며, 이 그룹을 LDAP 중첩 그룹이라고도 합니다. 즉, 한 사용자에게 둘 이상의 그룹이 있을 수 있습니다. 예를 들어 사용자가 Database-Admin 그룹의 구성원이고 Database-Admin 그룹이 엔지니어링 그룹의 구성원인 경우 사용자는 이 두 그룹 모두와 연결된 권한을 갖게 됩니다. 일부 LDAP 서버 (특히 Microsoft Active Directory)에서는 호출자가 얕은 검색처럼 보이는 경우에도 이러한 유형의 딥 검색을 자동으로 실행할 수 있습니다. 딥 검색을 실행하는 데 사용할 수 있는 다른 방법이 있습니다.
기본 DN: 검색 범위를 좁힐 수 있으며 위의 사용자 결합 설정 섹션에 지정된 기본 DN과 동일할 수 있습니다.
그룹스 객체 클래스: 이 설정은 선택사항입니다. 사용자 결합 설정 섹션에서 언급한 바와 같이, 이렇게 하면 Looker에서 반환하는 결과가 특정 객체 유형이나 유형 집합으로 제한될 수 있습니다.
그룹 구성원 속성: 각 그룹에 대해 구성원인 객체 (이 경우 사람)를 결정하는 속성입니다.
그룹 사용자 속성: 사용자가 그룹에 속하는지 여부를 확인하기 위해 그룹 항목에서 값을 검색할 LDAP 사용자 속성의 이름입니다. 기본값은 dn
입니다. 즉, 비워두면 dn
로 설정됩니다. 이렇게 하면 LDAP 검색 자체에 존재하는 정확한 대소문자 구분 문자열인 Search Group 항목에 고유한 LDAP 이름이 사용됩니다.
선호하는 그룹 이름/역할/그룹 DN: 이 필드 모음을 사용하면 맞춤 그룹 이름과 Looker에서 상응하는 LDAP 그룹에 하나 이상의 역할을 할당할 수 있습니다.
그룹 DN 입력란에 LDAP 그룹 DN을 입력합니다. 여기에는 LDAP 검색 자체에 존재하는 정확한 대소문자 구분 문자열인 전체 고유 이름이 포함되어야 합니다. LDAP 그룹에 포함된 LDAP 사용자는 Looker 내의 미러링된 그룹에 추가됩니다.
맞춤 이름 입력란에 미러링된 그룹의 맞춤 이름을 입력합니다. 이 이름은 Looker의 관리 섹션의 그룹 페이지에 표시됩니다.
맞춤 이름 입력란 오른쪽의 필드에서 그룹의 각 사용자에게 할당될 Looker 역할을 하나 이상 선택합니다.
+
를 클릭하여 추가 필드 세트를 추가하여 미러링된 그룹을 추가로 구성합니다. 여러 그룹이 구성되어 있고 그룹 구성을 삭제하려면 해당 그룹의 필드 세트 옆에 있는 X
를 클릭하세요.
이 화면에서 이전에 구성된 미러링된 그룹을 수정하는 경우 그룹 구성은 변경되지만 그룹 자체는 그대로 유지됩니다. 예를 들어 그룹의 맞춤 이름을 변경하면 Looker의 그룹 페이지에 그룹이 표시되는 방식이 변경되지만 할당된 역할 및 그룹 회원은 변경되지 않습니다. 그룹 DN을 변경하면 그룹 이름과 역할이 유지되지만 새 LDAP 그룹 DN이 있는 외부 LDAP 그룹의 사용자에 따라 그룹의 구성원이 다시 할당됩니다.
이 페이지에서 그룹을 삭제하면 Looker에서 해당 그룹이 더 이상 미러링되지 않으며, Looker의 구성원은 해당 그룹을 통해 더 이상 Looker의 역할을 할당받지 않습니다.
미러링된 그룹의 모든 변경사항은 다음에 Looker에 로그인할 때 해당 그룹의 사용자에게 적용됩니다.
고급 역할 관리
LDAP 그룹 미러링 스위치를 사용 설정한 경우 Looker에 다음 설정이 표시됩니다. 이 섹션의 옵션에 따라 Looker 그룹 및 LDAP에서 미러링된 사용자를 구성할 때 Looker 관리자가 얼마나 유연하게 활용할 수 있는지 결정됩니다.
예를 들어 Looker 그룹과 사용자 구성이 LDAP 구성과 완벽히 일치하도록 하려면 다음 옵션을 사용 설정하세요. 처음 세 가지 옵션을 모두 사용 설정하면 Looker 관리자는 미러링된 그룹의 멤버십을 수정할 수 없으며 LDAP 미러링 그룹을 통해서만 사용자에게 역할을 할당할 수 있습니다.
Looker에서 그룹을 더 유연하게 맞춤설정하려면 이 옵션을 사용 중지합니다. Looker 그룹은 LDAP 구성을 계속 미러링하지만 Looker 내에서 LDAP 사용자를 Looker 관련 그룹에 추가하거나 LDAP 사용자에게 직접 Looker 역할을 할당하는 등 추가 그룹 및 사용자 관리를 수행할 수 있습니다.
새 Looker 인스턴스 또는 이전에 미러링한 그룹이 없는 인스턴스의 경우 이 옵션은 기본적으로 사용 중지되어 있습니다.
현재 미러링된 그룹을 구성한 기존 Looker 인스턴스의 경우 이 옵션이 기본적으로 사용 설정됩니다.
고급 역할 관리 섹션에는 다음 옵션이 포함됩니다.
개별 LDAP 사용자가 직접 역할을 수신하지 못하도록 차단: 이 옵션을 사용 설정하면 Looker 관리자가 LDAP 사용자에게 직접 Looker 역할을 할당할 수 없습니다. LDAP 사용자는 그룹 멤버십을 통해서만 역할을 받게 됩니다. LDAP 사용자가 미러링된 것이 아닌 기본 Looker 그룹에 멤버십을 허용하는 경우 미러링된 LDAP 그룹과 기본 Looker 그룹 모두의 역할을 상속받을 수 있습니다. 이전에 역할이 직접 할당된 모든 LDAP 사용자는 다음에 로그인할 때 해당 역할이 삭제됩니다.
이 옵션을 사용 중지하면 Looker 관리자는 Looker에서 기본적으로 구성된 사용자처럼 LDAP 사용자에게 직접 Looker 역할을 할당할 수 있습니다.
LDAP가 아닌 그룹에서 직접 멤버십 방지: 이 옵션을 사용 설정하면 Looker 관리자가 LDAP 사용자를 기본 Looker 그룹에 직접 추가할 수 없습니다. 미러링된 LDAP 그룹이 기본 Looker 그룹의 구성원이 되도록 허용된 경우 LDAP 사용자는 모든 상위 Looker 그룹의 멤버십을 유지할 수 있습니다. 이전에 기본 Looker 그룹에 할당된 LDAP 사용자는 다음에 로그인할 때 해당 그룹에서 삭제됩니다.
이 옵션을 사용 중지하면 Looker 관리자가 LDAP 사용자를 기본 Looker 그룹에 직접 추가할 수 있습니다.
LDAP가 아닌 그룹의 역할 상속 방지: 이 옵션을 사용 설정하면 미러링된 LDAP 그룹 회원이 기본 Looker 그룹의 역할을 상속하지 않습니다. 이전에 상위 Looker 그룹에서 역할을 상속한 모든 LDAP 사용자는 다음에 로그인할 때 해당 역할을 잃게 됩니다.
이 옵션을 사용 중지하면 미러링된 LDAP 그룹 또는 기본 Looker 그룹의 구성원으로 추가된 LDAP 사용자가 상위 Looker 그룹에 할당된 역할을 상속받습니다.
인증에 역할 필요: 이 옵션을 사용 설정하면 LDAP 사용자에게 역할이 할당되어 있어야 합니다. 역할이 할당되지 않은 LDAP 사용자는 Looker에 아예 로그인할 수 없습니다.
이 옵션을 사용 중지하면 할당된 역할이 없더라도 LDAP 사용자가 Looker에 인증할 수 있습니다. 역할이 할당되지 않은 사용자는 Looker에서 데이터를 보거나 작업을 수행할 수 없지만 Looker에 로그인할 수 있습니다.
이전 및 통합 옵션
관리자 및 지정된 사용자를 위한 대체 로그인
- 관리자 및
login_special_email
권한이 있는 사용자에게 보조 이메일 기반 로그인을 허용합니다 (역할 문서에서 이 권한 설정 자세히 알아보기). 이 옵션은 Looker 로그인 페이지에 사용 설정되어 있으며 사용자에게 적절한 권한이 있는 경우 표시됩니다.
- 이 옵션은 나중에 LDAP 구성 문제가 발생하거나 LDAP 디렉터리에 없는 일부 사용자를 지원해야 하는 경우 LDAP 설정 중에 대체로 유용합니다.
- LDAP가 사용 설정된 경우 일반 사용자의 Looker 이메일/비밀번호 로그인은 항상 사용 중지됩니다.
이메일로 병합
- 이 옵션을 사용하면 Looker가 이메일 주소를 기반으로 최초 LDAP 사용자를 기존 Looker 계정과 병합할 수 있습니다.
- Looker가 일치하는 이메일 주소를 찾지 못하면 사용자의 새 계정이 생성됩니다.
설정 저장 및 적용
정보 입력을 완료하고 테스트가 모두 통과되면 위의 구성을 확인하고 전역적으로 적용을 사용 설정을 선택한 후 설정 업데이트를 클릭하여 저장합니다.