:se você não vir a página LDAP na seção Autenticação do menu Administrador, abra uma solicitação de suporte em Ajuda.Acesse a Central de Ajuda.
A página LDAP na seção Autenticação do menu Administrador permite que você configure o Looker para autenticar usuários com o protocolo leve de acesso a diretórios (LDAP). Esta página descreve esse processo e inclui instruções para vincular grupos LDAP a funções e permissões do Looker.
Alguns lembretes:
- A autenticação do Looker usa autenticação simples do LDAP. A autenticação anônima não é compatível.
- Você precisa criar uma única conta de usuário LDAP com privilégios de leitura para entradas do usuário e qualquer entrada de grupo que será usada pelo Looker.
- O Looker só lê o diretório LDAP (sem gravações).
- O Looker pode migrar contas existentes para o LDAP usando endereços de e-mail.
- O uso da API Looker não interage com a autenticação LDAP.
- Se o servidor LDAP restringir o tráfego de IPs, você precisará adicionar endereços IP do Looker à lista de permissões de IPs ou ao tráfego de entrada do servidor LDAP.
- O LDAP substitui a autenticação de dois fatores. Se você tiver ativado a autenticação de dois fatores, os usuários não verão as telas de login da autenticação de dois fatores após a ativação do LDAP.
Cuidado ao desativar a autenticação LDAP
Se você tiver feito login no Looker usando o LDAP e quiser desativar a autenticação LDAP, siga estas duas etapas:
- Confira se você tem outras credenciais para fazer login.
- Ative a opção Alternar login na página de configuração LDAP.
Caso contrário, é possível bloquear você e outros usuários fora do Looker.
Como começar a usar o recurso
Navegue até a página Autenticação LDAP na seção Administrador do Looker para ver as seguintes opções de configuração.
Configurar sua conexão
O Looker oferece suporte para transporte/criptografia com LDAP claro e LDAP por TLS. É altamente recomendável usar LDAP sobre TLS. O StartTLS e outros esquemas de criptografia não são compatíveis.
- Digite suas informações do Host e da Porta.
- Marque a caixa ao lado de TLS se você estiver usando o LDAP sobre TLS.
- Se você estiver usando o LDAP sobre TLS, o Looker aplicará a verificação de certificado de peering por padrão. Se você precisar desativar a verificação do certificado de peering, marque Não verificar.
- Clique em Testar conexão. Se algum erro aparecer, corrija-o antes de continuar.
Autenticação de conexão
O Looker precisa de acesso a uma conta LDAP protegida por senha. A conta LDAP precisa ter acesso de leitura às entradas de pessoas e de um novo conjunto de entradas de função. A conta LDAP do Looker não requer acesso de gravação (nem acesso a quaisquer outros aspectos do diretório) e não importa o namespace em que a conta foi criada.
- Insira a Senha.
- [Opcional] Marque a caixa de seleção Forçar sem paginação se o provedor LDAP não fornecer resultados paginados. Em alguns casos, isso pode ajudar se você não estiver recebendo correspondências ao pesquisar usuários, embora não seja a única solução para esse problema.
- Clique no botão Testar autenticação. Se algum erro aparecer, verifique se as informações de autenticação estão corretas. Se suas credenciais forem válidas, mas os erros persistirem, entre em contato com o administrador do LDAP da sua empresa.
Configurações de vinculação de usuários
Os detalhes desta seção especificam como o Looker vai encontrar usuários no seu diretório, vincular para autenticação e extrair informações do usuário.
- Defina o DN de base, que é a base da árvore de pesquisa para todos os usuários.
- [Opcional] Especifique uma Classe de objeto do usuário, que controla os tipos de resultados que o Looker encontrará e retornará. Isso é útil se o DN de base for uma mistura de tipos de objetos (pessoas, grupos, impressoras etc.) e você quiser retornar apenas entradas de um tipo.
- Defina os Atributos de login, que definem os atributos que os usuários usarão para fazer login. Eles precisam ser exclusivos a cada usuário e algo que os usuários já conhecem como ID no seu sistema. Por exemplo, é possível escolher um ID de usuário ou um endereço de e-mail completo. Se você adicionar mais de um atributo, o Looker pesquisará as duas opções para encontrar o usuário apropriado. Lembre-se de selecionar os campos apropriados aqui. Usar algo como nome e sobrenome não funcionará quando você tiver duas Jennifer Smiths etc.
- Especifique a Atribuição de e-mail, a Atribuição de nome e a Atribuição de sobrenome. Essas informações informam ao Looker como mapear esses campos e extrair as informações no momento do login.
- Defina o ID de atribuição, que indica um campo que o próprio Looker precisa usar como o ID exclusivo dos usuários. Este geralmente é um dos campos de login.
- Você também pode digitar um filtro personalizado opcional, que permite fornecer filtros LDAP arbitrários que serão aplicados ao pesquisar um usuário para vincular durante a autenticação LDAP. Isso é útil se você quiser filtrar conjuntos de registros de usuários, como usuários desativados ou que estejam em uma organização diferente.
Exemplo
Este exemplo de entrada do usuário "ldiff" demonstra como definir as configurações correspondentes do Looker:
Entrada de usuário Ldiff
dn: cn=mward,ou=People,dc=example,dc=com
objectClass: person
objectClass: inetOrgPerson
objectClass: organizationalPerson
objectClass: top
cn: mward
userpassword: normal
givenname: Marcus
telephonenumber: +1 408 555 5688
sn: Ward
mail: mward@example.com
ou: People
Configurações do Looker correspondentes
Base DN: ou=People,dc=looker,dc=com
User Object Class: person
Login Attrs: cn
Email Attr: mail
First Name Attr: givenname
Last Name Attr: sn
ID Attr: cn
Pareamento de atributos de usuário LDAP com atributos de usuário do Looker
Você também pode usar os dados nos atributos do usuário do LDAP para preencher automaticamente os valores nos atributos de usuário do Looker quando um usuário fizer login. Por exemplo, se você tiver configurado o LDAP para fazer conexões específicas do usuário com seu banco de dados, será possível parear os atributos do usuário do LDAP com os atributos do usuário do Looker para tornar as conexões do banco de dados específicas do usuário no Looker.
O atributo LDAP precisa ser um atributo de usuário, não um atributo de grupo.
Para parear os atributos de usuário LDAP com os atributos de usuário correspondentes do Looker, siga estas etapas:
- Digite o nome do atributo de usuário LDAP no campo Atributo de usuário LDAP e o nome do atributo de usuário do Looker com que você quer parear no campo Atributos do usuário do Looker.
- Marque Obrigatório se você quiser exigir um valor de atributo LDAP para permitir que um usuário faça login.
- Clique em + e repita essas etapas para adicionar mais pares de atributos.
- Insira as credenciais de um usuário de teste e clique no botão Testar a autenticação do usuário. O Looker tentará uma sequência completa de autenticação LDAP e mostrará o resultado. Após o sucesso, o Looker emite as informações do usuário a partir do diretório e mais algumas informações de trace sobre o processo de autenticação, o que pode ajudar a resolver problemas de configuração.
- Verifique se a autenticação foi concluída e se todos os campos estão mapeados corretamente. Por exemplo, confirme se o campo
first_name
não contém um valor que pertence a last_name
.
Grupos e papéis
É possível configurar o Looker para criar grupos que espelham seus grupos LDAP gerenciados externamente. Depois você pode atribuir papéis do Looker aos usuários com base nos grupos LDAP espelhados. Quando você muda a associação ao grupo LDAP, essas alterações são propagadas automaticamente para a configuração do grupo do Looker.
Espelhar grupos LDAP permite usar seu diretório LDAP definido externamente para gerenciar grupos e usuários do Looker. Assim, é possível gerenciar a associação ao grupo para várias ferramentas de software como serviço (SaaS), como o Looker, em um só lugar.
Se você ativar a opção Espelhar grupos LDAP, o Looker criará um grupo do Looker para cada grupo LDAP introduzido no sistema. Esses grupos do Looker podem ser visualizados na página Grupos da seção Administrador do Looker. Os grupos podem ser usados para atribuir funções aos participantes, definir controles de acesso ao conteúdo e atribuir atributos do usuário.
Grupos e papéis padrão
A opção Espelhar grupos LDAP fica desativada por padrão. Nesse caso, você pode definir um grupo padrão para novos usuários do LDAP. Nos campos New User Groups e New User Roles, insira os nomes dos grupos ou papéis do Looker a que você quer atribuir novos usuários do Looker quando eles fizerem login pela primeira vez no Looker:
Esses grupos e funções são aplicados a novos usuários no primeiro login. Os grupos e papéis não são aplicados a usuários preexistentes e não são reaplicados se forem removidos dos usuários após o login inicial.
Se você ativar os grupos LDAP espelhados depois, esses padrões serão removidos dos usuários no próximo login e substituídos por funções atribuídas na seção Espelhar grupos LDAP. Essas opções padrão não estarão mais disponíveis ou atribuídas e serão totalmente substituídas pela configuração de grupos espelhados.
Como ativar grupos LDAP espelhados
Se você quiser espelhar seus grupos LDAP no Looker, ative a opção Espelhar grupos LDAP. O Looker exibe estas configurações:
Estratégia de localizador de grupo: escolha uma opção no menu suspenso para informar ao Looker como encontrar os grupos de um usuário:
Grupos têm atributos de participante: esta é a opção mais comum. Ao procurar um membro do grupo, o Looker retornará apenas os grupos a que um usuário foi atribuído diretamente. Por exemplo, se um usuário pertencer ao grupo Database-Admin e o Database-Admin for membro do grupo Engineering, o usuário só receberá as permissões afiliadas ao grupo Database-Admin.
Grupos têm atributos de participantes (pesquisa detalhada): essa opção permite que os grupos sejam participantes de outros grupos, que às vezes são chamados de grupos aninhados LDAP. Portanto, um usuário pode ter as permissões de mais de um grupo. Por exemplo, se um usuário participar do grupo Database-Admin e o Database-Admin for membro do grupo Engineering, o usuário receberá as permissões afiliadas a ambos esses grupos. Alguns servidores LDAP (especialmente o Microsoft Active Directory) oferecem suporte para executar automaticamente esse tipo de pesquisa profunda, mesmo quando o autor da chamada está fazendo uma pesquisa superficial. Esse pode ser outro método que você pode usar para fazer uma pesquisa profunda.
DN de base: permite restringir a pesquisa e ser igual ao DN de base especificado na seção Configurações de vinculação de usuários acima.
Classes de objetos do Groups: esta configuração é opcional. Conforme observado na seção Configurações de vinculação de usuários, isso permite que os resultados retornados pelo Looker sejam restritos a um tipo específico de objeto ou conjunto de tipos.
Atribuição de participante do grupo: o atributo que, para cada grupo, determina os objetos (neste caso, provavelmente as pessoas) que são participantes.
Atribuição de usuários do grupo: o nome do atributo de usuário do LDAP cujo valor procuraremos nas entradas de grupo para determinar se um usuário faz parte do grupo. O padrão é dn
, o que significa que deixá-lo em branco é o mesmo que defini-lo como dn
. Isso resultará em LDAP usando o nome distinto completo, que é a string exata que diferencia maiúsculas de minúsculas que existiria na própria pesquisa LDAP para pesquisar entradas de grupos.
Nome/grupo de papéis/DN de grupo preferido: este conjunto de campos permite atribuir um nome a um grupo personalizado e um ou mais papéis atribuídos ao grupo LDAP correspondente no Looker:
Digite o DN do grupo LDAP no campo DN do grupo. Isso precisa incluir o nome distinto completo, que é a string exata que diferencia maiúsculas de minúsculas que existiria na pesquisa LDAP. Os usuários LDAP incluídos no grupo LDAP serão adicionados ao grupo espelhado do Looker.
Digite um nome personalizado para o grupo espelhado no campo Nome personalizado. Este será o nome exibido na página Grupos da seção Administrador do Looker.
No campo à direita do campo Nome personalizado, selecione um ou mais papéis do Looker que serão atribuídos a cada usuário do grupo.
Clique em +
para adicionar conjuntos de campos e configurar outros grupos espelhados. Se você tiver vários grupos configurados e quiser remover a configuração de um grupo, clique em X
ao lado do conjunto de campos desse grupo.
Se você editar um grupo espelhado que foi configurado anteriormente nesta tela, a configuração do grupo será alterada, mas o grupo permanecerá intacto. Por exemplo, você pode alterar o nome personalizado de um grupo, além de mudar a forma como ele aparece na página Grupos do Looker, mas não os papéis atribuídos e os participantes do grupo. A alteração do DN de grupo manteria o nome e as funções do grupo, mas os participantes do grupo seriam reatribuídos com base nos usuários que são participantes do grupo LDAP externo que tem o novo DN de grupo LDAP.
Se você excluir um grupo nesta página, ele não será mais espelhado no Looker, e os membros dele não terão mais os papéis atribuídos a ele no Looker.
Qualquer edição feita em um grupo espelhado será aplicada aos usuários desse grupo no próximo login que fizerem no Looker.
Gerenciamento avançado de papéis
Se você tiver ativado a chave Espelhar grupos LDAP, o Looker exibirá essas configurações. As opções nesta seção determinam a flexibilidade que os administradores do Looker têm ao configurar grupos do Looker e usuários que foram espelhados do LDAP.
Por exemplo, se você quiser que seu grupo do Looker e a configuração do usuário correspondam estritamente à configuração do LDAP, ative essas opções. Quando as três primeiras opções estiverem ativadas, os administradores do Looker não poderão modificar a associação dos grupos espelhados e só poderão atribuir papéis aos usuários por meio de grupos espelhados do LDAP.
Se você quiser ter mais flexibilidade para personalizar ainda mais seus grupos no Looker, desative essas opções. Seus grupos do Looker ainda vão refletir sua configuração LDAP, mas você poderá fazer gerenciamento de usuários e grupos adicionais no Looker, como adicionar usuários LDAP a grupos específicos do Looker ou atribuir papéis do Looker diretamente a usuários LDAP.
Para novas instâncias do Looker ou que não têm grupos espelhados configurados anteriormente, essas opções são desativadas por padrão.
Para as instâncias atuais do Looker que têm grupos espelhados configurados, essas opções são ativadas por padrão.
A seção Gerenciamento avançado de papéis contém estas opções:
Impedir que usuários LDAP individuais recebam papéis diretos: ativar esta opção impede que os administradores do Looker atribuam papéis do Looker diretamente aos usuários LDAP. Os usuários do LDAP só receberão os papéis pelos participantes do grupo. Se os usuários LDAP tiverem permissão de associação em grupos nativos do Looker (não espelhados), eles ainda poderão herdar papéis de grupos LDAP espelhados e de grupos nativos do Looker. Os usuários LDAP que tiverem papéis atribuídos diretamente terão esses papéis removidos no próximo login.
Se essa opção estiver desativada, os administradores do Looker poderão atribuir papéis do Looker diretamente aos usuários do LDAP como se eles estivessem configurados de forma nativa no Looker.
Impedir a associação direta em grupos não LDAP: ativar esta opção impede que os administradores do Looker adicionem usuários LDAP diretamente a grupos nativos do Looker. Se for permitido que os grupos LDAP espelhados sejam membros de grupos nativos do Looker, os usuários LDAP poderão manter a associação em qualquer grupo pai do Looker. Todos os usuários LDAP atribuídos anteriormente a grupos nativos do Looker serão removidos desses grupos no próximo login.
Se essa opção estiver desativada, os administradores do Looker poderão adicionar usuários do LDAP diretamente a grupos nativos do Looker.
Impedir herança de papéis de grupos não LDAP: ativar esta opção impede que membros de grupos LDAP espelhados herdem papéis de grupos nativos do Looker. Todos os usuários LDAP que herdaram papéis de um grupo do Looker pai perderão os papéis no próximo login.
Se esta opção estiver desativada, os grupos LDAP espelhados ou os usuários LDAP adicionados como membros de um grupo nativo do Looker vão herdar os papéis atribuídos ao grupo pai do Looker.
Autenticação obrigatória: se essa opção estiver ativada, os usuários LDAP precisarão atribuir uma função. Os usuários do LDAP que não tiverem um papel atribuído não poderão fazer login no Looker.
Se essa opção estiver desativada, os usuários do LDAP poderão fazer a autenticação no Looker, mesmo que não tenham nenhum papel atribuído. Um usuário sem papel atribuído não poderá ver os dados nem realizar ações no Looker, mas poderá fazer login nele.
Opções de migração e integração
Login alternativo para administradores e usuários especificados
- Permita um login alternativo baseado em e-mail para administradores e usuários com a permissão
login_special_email
. Saiba mais sobre como definir essa permissão na documentação de papéis. Essa opção será exibida na página de login do Looker se você a tiver ativado e o usuário tiver a permissão adequada.
- Essa opção é útil como um substituto durante a configuração do LDAP, quando os problemas de configuração do LDAP ocorrem mais tarde ou quando você precisa oferecer suporte a alguns usuários que não estão no diretório LDAP.
- Os logins de e-mail/senha do Looker são sempre desativados para usuários comuns quando o LDAP está ativado.
Mesclar por e-mail
- Essa opção permite que o Looker mescle usuários LDAP pela primeira vez com uma conta existente do Looker, com base no endereço de e-mail.
- Se o Looker não encontrar um endereço de e-mail correspondente, uma nova conta será criada para o usuário.
Salvar e aplicar configurações
Quando terminar de inserir as informações, e quando todos os testes forem aprovados, marque Confirmei a configuração acima e quero ativar a aplicação globalmente e clique em Atualizar configurações para salvar.