Si tu instancia de Looker se creó después de Looker 22.10, la página OpenID Connect estará disponible de forma predeterminada en la sección Authentication del menú Administrador.
Si no ve la página OpenID Connect en la sección Authentication del menú Administrador, haga clic en Comuníquese con nosotros para abrir una solicitud de asistencia en el Centro de ayuda de Looker.
Las empresas usan diferentes proveedores (OP) de OpenID para coordinar con OpenID Connect (por ejemplo, Okta o OneLogin). Es posible que los términos que se usan en las siguientes instrucciones de configuración y en la IU de Looker no coincidan directamente con los que usa tu OP.
La página OpenID Connect de la sección Authentication del menú Admin (Administrador de OpenID) te permite configurar Looker para autenticar usuarios mediante el protocolo OpenID Connect. En esta página, se describe ese proceso y se incluyen instrucciones para vincular grupos de OpenID Connect a funciones y permisos de Looker.
Consideraciones de planificación
- Considera usar la opción Acceso alternativo para usuarios especificados a fin de permitir que los administradores de Looker accedan a Looker sin OpenID Connect.
- No inhabilites la autenticación de OpenID Connect cuando accedas a Looker con OpenID Connect, a menos que hayas configurado un acceso alternativo para la cuenta. De lo contrario, podría bloquearse en la app.
- Looker puede migrar cuentas existentes a OpenID Connect con direcciones de correo electrónico que provengan de la configuración actual de correo electrónico y contraseña, LDAP, SAML o Google Auth. Podrás hacerlo en el proceso de configuración.
- Looker solo admite la autenticación de OpenID Connect mediante el flujo de código de autorización de OpenID Connect. No se admiten otros flujos de código.
- La especificación de OpenID Connect incluye un mecanismo de descubrimiento opcional. Looker no admite este mecanismo, por lo que debe proporcionar URL explícitas en la sección Configuración de autenticación de OpenID Connect como se describe a continuación.
Configura OpenID Connect
Para configurar la conexión entre Looker y OpenID Connect, realiza las siguientes tareas:
- Asigna la URL de Looker a tu proveedor de OpenID Connect (OP).
- Obtén la información requerida de tu op.
Configura Looker en tu OP
Tu proveedor de OpenID Connect (OP) necesitará la URL de tu instancia de Looker. La OP puede llamarla URI de redireccionamiento o URI de redireccionamiento de acceso, entre otros nombres. En el sitio web de tu OP, proporciona a la OP la URL en la que sueles acceder a tu instancia de Looker en un navegador, seguida de /openidconnect. Por ejemplo, https://instance_name.looker.com/openidconnect.
Cómo obtener información de tu OP
A fin de configurar Looker para la autenticación de OpenID Connect, necesitas la siguiente información de tu OP:
- Un identificador y un secreto del cliente. Generalmente, las OP las suministra en su sitio web cuando configura el URI de redireccionamiento como se describió anteriormente.
- Durante el proceso de autenticación de OpenID Connect, Looker se conectará a tres extremos diferentes: uno de autenticación, uno de token de ID y otro de información del usuario. Necesitarás las URL que use tu OP para cada uno de estos extremos.
- Cada OP proporcionará información del usuario en conjuntos llamados alcances. Debes conocer los nombres de los alcances que usa tu OP. OpenID Connect requiere el alcance
openid, pero es probable que tu OP incluya otros alcances, comoemail,profileygroups. - En OpenID Connect, los atributos que almacenan datos del usuario se denominan reclamaciones. Debes saber qué reclamos pasa tu OP a Looker para proporcionar la información de usuario que deseas en tu instancia de Looker. Looker requiere reclamos que contengan información de correo electrónico y nombre, pero, si tienes otros atributos de usuario, como zona horaria o departamento, también deberá identificar qué reclamos contienen esa información. Los reclamos se pueden incluir en la respuesta desde el extremo de información del usuario o el extremo del token de ID. Looker puede mapear las reclamaciones que muestra cualquiera de los extremos a los atributos de usuario de Looker.
Muchas OP proporcionan información sobre la configuración de OpenID Connect en forma de documento de descubrimiento, lo que te permite recopilar toda la información que necesitarás para configurar Looker para OpenID Connect. Si no tienes acceso a un documento de descubrimiento, debes obtener la información necesaria de tu OP o equipo de autenticación interna.
Por ejemplo, esta es una sección de un documento de descubrimiento de ejemplo proporcionado por Google:
Configura la autenticación de OpenID Connect
Usa la información de configuración que obtuviste de tu documento de descubrimiento, tu OP o tu equipo de autenticación interno para ingresar la configuración de conexión en los siguientes campos:
Identificador: el identificador de cliente único para tu instancia de Looker La OP debe proporcionar esta información.
Secreto: La clave secreta de cliente única de tu instancia de Looker. La OP debe proporcionar esta información.
Entidad emisora: Es la URL segura que identifica tu OP.
Público: Es un identificador que indica a su OP el cliente. Este suele ser el mismo que su valor Identificador, pero puede ser un valor diferente.
URL de autorización: La URL de la OP donde comienza la secuencia de autenticación. Se suele llamar authorization_endpoint en un documento de descubrimiento.
URL del token: La URL en la que Looker recupera un token de OAuth después de que se autorizó a Looker. Se suele llamar token_endpoint en un documento de descubrimiento.
URL de información del usuario: Es la URL en la que Looker recuperará información detallada del usuario. Se suele llamar userinfo_endpoint en un documento de descubrimiento.
Alcances: Una lista de alcances separados por comas que usa la OP para proporcionar información del usuario a Looker. Debes incluir el permiso openid y cualquier alcance que incluya la información que requiere Looker, que incluye las direcciones de correo electrónico, los nombres de usuario y cualquier atributo de usuario configurado en tu instancia de Looker.
Cómo configurar los atributos de usuario
En esta sección, asignarás los reclamos de tus OP a los atributos del usuario de Looker.
En la sección Configuración de atributos de usuario, ingresa el nombre de tu reclamo de OP que contenga la información correspondiente para cada campo. Esto le indica a Looker cómo asignar esas reclamaciones a la información del usuario de Looker en el momento de acceder. Looker no se refiere específicamente a la creación de reclamos, sino que es importante que la información de reclamos que ingrese aquí coincida con la forma en que se definen los reclamos en su OP.
Reclamos estándar
Looker requiere información de nombre de usuario y correo electrónico para la autenticación del usuario. Ingresa la información de reclamo correspondiente de tu OP en esta sección:
Reclamo por correo electrónico: Es el reclamo que usa tu OP para las direcciones de correo electrónico de los usuarios, como email.
Reclamo por nombre: Es el reclamo que usa tu OP para los nombres de usuario, como given_name.
Reclamo del apellido: Es el reclamo que usa tu OP para los apellidos de los usuarios, como family_name.
Ten en cuenta que algunas operaciones usan una única reclamación de nombres, en lugar de separar el nombre del apellido. Si este es el caso de tu OP, ingresa el reclamo que almacena los nombres en los campos Claim Name Claim y Last Name Claim. Para cada usuario, Looker usará el contenido hasta el primer espacio como nombre y todo lo que siga después como apellido.
Vinculaciones de atributos
De manera opcional, puedes usar los datos de tus reclamos de OpenID Connect para propagar automáticamente los valores en los atributos del usuario de Looker cuando un usuario acceda a su cuenta. Por ejemplo, si configuraste OpenID Connect para realizar conexiones específicas de usuarios a tu base de datos, puedes sincronizar tus reclamos de OpenID Connect con los atributos de usuario de Looker a fin de hacer que las conexiones de tu base de datos sean específicas del usuario en Looker.
Para vincular reclamos con los atributos de usuario de Looker correspondientes, sigue estos pasos:
- Ingresa el reclamo según lo identifique tu OP en el campo Claim y el atributo de usuario de Looker con el que deseas sincronizarlo en el campo Looker User Attributes.
- Marca Obligatorio si deseas bloquear el acceso de cualquier cuenta de usuario al que le falte un valor en ese campo del reclamo.
- Haz clic en + y repite estos pasos para agregar más pares de reclamos y atributos.
Ten en cuenta que algunas operaciones pueden tener reclamos "anidados". Por ejemplo:
"zoneinfo": "America/Los Angeles",
"phone_number": "555-1235",
"address": {
"street_address": "1234 Main Street",
"locality": "Anyton",
"region": "IL",
"postal_code": "60609",
"country": "US"
},
En el ejemplo anterior, la reclamación locality está anidada dentro de la reclamación address. En el caso de los reclamos anidados, especifica el superior y los reclamos anidados, separados por un carácter de barra diagonal (/). Si quieres configurar Looker para la reclamación locality anterior, debes ingresar address/locality.
Grupos y funciones
Tienes la opción de que Looker cree grupos que reflejen los grupos de OpenID Connect administrados de forma externa y, luego, asigne funciones de Looker a los usuarios en función de sus grupos duplicados de OpenID Connect. Cuando realizas cambios en tu membresía de OpenID Connect, esos cambios se propagan automáticamente a la configuración de grupo de Looker.
La duplicación de grupos de OpenID Connect te permite usar el directorio de OpenID Connect definido de forma externa para administrar grupos y usuarios de Looker. Esto, a su vez, te permite administrar la membresía de tu grupo para varias herramientas de software como servicio (SaaS), como Looker, en un solo lugar.
Si activas Duplicar grupos de OpenID Connect, Looker creará un grupo de Looker para cada grupo de OpenID Connect que se presente en el sistema. Esos grupos de Looker se pueden ver en la página Grupos de la sección Administrador de Looker. Los grupos se pueden usar para asignar funciones a los miembros del grupo, configurar controles de acceso a contenido y asignar atributos de usuario.
Funciones y grupos predeterminados
De forma predeterminada, el interruptor Duplicar grupos de OpenID está desactivado. En este caso, puedes establecer un grupo predeterminado para los usuarios nuevos de OpenID Connect. En los campos Grupos de usuarios nuevos y Funciones de usuarios nuevos, ingresa los nombres de los grupos o las funciones de Looker a los que deseas asignar usuarios nuevos de Looker cuando acceden por primera vez a Looker:
Estos grupos y funciones se aplican a los usuarios nuevos en su acceso inicial. No se aplican a usuarios preexistentes ni se vuelven a aplicar si se quitan de los usuarios después del acceso inicial.
Si más adelante habilitas la duplicación de grupos de OpenID Connect, se quitarán los valores predeterminados para los usuarios en el próximo acceso y se reemplazarán por las funciones asignadas en la sección Duplicar grupos de OpenID Connect. Estas opciones predeterminadas ya no estarán disponibles ni asignadas y se reemplazarán por la configuración de grupos duplicados.
Habilita la duplicación de grupos de OpenID Connect
Para duplicar tus grupos de OpenID Connect en Looker, activa el interruptor Duplicar los grupos de OpenID Connect:
Reclamación de grupos: Ingresa la declaración que usará tu OP para almacenar los nombres de los grupos. Looker creará un grupo de Looker para cada grupo de OpenID Connect que ingrese al sistema mediante la reclamación de Grupos. Esos grupos de Looker se pueden ver en la página Grupos de la sección Administrador de Looker. Los grupos se pueden usar para configurar controles de acceso a contenido y asignar atributos de usuario.
Nombre de grupo preferido / Funciones / Nombre de grupo de OpenID Connect: Este conjunto de campos te permite asignar un nombre de grupo personalizado y una o más funciones asignadas al grupo de OpenID Connect correspondiente en Looker:
Ingresa el nombre del grupo de OpenID Connect en el campo Nombre del grupo de OpenID Connect. Los usuarios de OpenID Connect que estén incluidos en el grupo de OpenID Connect se agregarán al grupo duplicado en Looker.
Ingresa un nombre personalizado para el grupo duplicado en el campo Nombre personalizado. Este es el nombre que se mostrará en la página Grupos de la sección Administrador de Looker.
En el campo que está a la derecha del campo Nombre personalizado, seleccione una o más funciones de Looker que se asignarán a cada usuario del grupo.
Haz clic en
+para agregar conjuntos de campos adicionales a fin de configurar grupos duplicados adicionales. Si tienes varios grupos configurados y deseas eliminar la configuración de un grupo, haz clic en laXjunto al conjunto de campos de ese grupo.
Si editas un grupo duplicado que se haya configurado previamente en esta pantalla, la configuración del grupo cambiará, pero el grupo en sí permanecerá intacto. Por ejemplo, puedes cambiar el nombre personalizado de un grupo, lo que cambiaría la forma en que el grupo aparece en la página Grupos de Looker, pero no las funciones asignadas y los miembros del grupo. Si se cambia el ID de grupo de OpenID Connect, se conservarán el nombre y las funciones del grupo, pero los miembros del grupo se reasignarán en función de los usuarios que sean miembros del grupo externo de OpenID Connect que tiene el nuevo ID de grupo de OpenID Connect.
Si borras un grupo de esta página, ese grupo ya no se duplicará en Looker y sus miembros ya no tendrán las funciones de Looker asignadas a ese grupo.
Las ediciones que se realicen en un grupo duplicado se aplicarán a los usuarios de ese grupo la próxima vez que accedan a Looker.
Administración avanzada de funciones
Si habilitaste el interruptor Duplicar grupos de OpenID, Looker mostrará esta configuración. Las opciones de esta sección determinan cuánta flexibilidad tienen los administradores de Looker para configurar grupos y usuarios de Looker duplicados desde OpenID Connect.
Por ejemplo, si deseas que tu grupo de Looker y la configuración de usuario coincidan estrictamente con la configuración de OpenID Connect, activa estas opciones. Cuando las tres primeras opciones están habilitadas, los administradores de Looker no pueden modificar la membresía de los grupos duplicados y solo pueden asignar funciones a los usuarios mediante los grupos duplicados de OpenID Connect.
Si desea tener más flexibilidad para personalizar aún más sus grupos en Looker, desactive estas opciones. Tus grupos de Looker seguirán reflejando la configuración de OpenID Connect, pero podrás administrar grupos y usuarios adicionales en Looker, como agregar usuarios de OpenID Connect a grupos específicos de Looker o asignar funciones de Looker directamente a los usuarios de OpenID Connect.
Para las instancias nuevas de Looker o aquellas que no tienen grupos duplicados configurados previamente, estas opciones están desactivadas de forma predeterminada.
Para las instancias existentes de Looker que tienen configurados grupos duplicados, estas opciones están activadas de forma predeterminada.
Si activas una configuración más restrictiva, los usuarios perderán la membresía del grupo o las funciones asignadas que se configuraron directamente en Looker. Esto sucede la próxima vez que esos usuarios acceden a Looker.
La sección Administración avanzada de funciones contiene estas opciones:
Impedir que los usuarios individuales de OpenID Connect reciban funciones directas: Activa esta opción para evitar que los administradores de Looker asignen funciones de Looker directamente a los usuarios de OpenID Connect. Los usuarios de OpenID Connect recibirán funciones solo a través de sus membresías de grupo. Si se permite a los usuarios de OpenID Connect pertenecer a grupos de Looker nativos (no duplicados), pueden heredar sus funciones de los grupos de OpenID Connect duplicados y de los grupos nativos de Looker. A los usuarios de OpenID Connect a los que se les asignaron funciones anteriormente de forma directa, se les quitarán la función la próxima vez que accedan.
Si esta opción está desactivada, los administradores de Looker pueden asignar funciones de Looker directamente a los usuarios de OpenID Connect como si fueran usuarios configurados de forma nativa en Looker.
Impedir la membresía directa en grupos que no sean de OpenID Connect: Activa esta opción para evitar que los administradores de Looker agreguen usuarios de OpenID Connect directamente a los grupos nativos de Looker. Si se permite que los grupos duplicados de OpenID Connect sean miembros de grupos nativos de Looker, los usuarios de OpenID Connect pueden retener la membresía en cualquier grupo superior de Looker. Los usuarios de OpenID Connect que se hayan asignado anteriormente a grupos nativos de Looker se quitarán de esos grupos la próxima vez que accedan.
Si esta opción está desactivada, los administradores de Looker pueden agregar usuarios de OpenID Connect directamente a grupos nativos de Looker.
Impedir la herencia de la función de grupos que no sean de OpenID Connect: Activa esta opción para evitar que los miembros de grupos de OpenID Connect duplicados hereden funciones de grupos nativos de Looker. Todos los usuarios de OpenID Connect que heredaron funciones de un grupo de Looker superior perderán estas funciones la próxima vez que accedan.
Si esta opción está desactivada, los grupos duplicados de OpenID Connect o los usuarios de OpenID Connect que se agreguen como miembros de un grupo nativo de Looker heredarán las funciones asignadas al grupo superior de Looker.
La autenticación requiere función: Si esta opción está activada, los usuarios de OpenID Connect deben tener una función asignada. Los usuarios de OpenID Connect que no tengan asignada una función no podrán acceder a Looker.
Si esta opción está desactivada, los usuarios de OpenID Connect pueden autenticarse en Looker incluso si no tienen una función asignada. Los usuarios que no tengan una función asignada no podrán ver ningún dato ni realizar ninguna acción en Looker, pero podrán acceder a Looker.
Configura las opciones de migración
Como se explica en esta sección, Looker recomienda que habilite el Acceso alternativo y proporcione una estrategia de combinación para los usuarios existentes.
Acceso alternativo para usuarios específicos
Los accesos de correo electrónico y contraseña de Looker siempre están inhabilitados para los usuarios normales cuando la autenticación de OpenID Connect está habilitada. La opción Acceso alternativo para usuarios especificados habilita el acceso alternativo basado en correo electrónico mediante /login/email para administradores y usuarios específicos con el permiso login_special_email.
Activar esta opción es útil como resguardo durante la configuración de OpenID Connect en caso de que ocurran problemas de configuración de OpenID Connect más adelante o si necesitas brindar asistencia a algunos usuarios que no tienen cuentas en tu directorio de OpenID Connect.
Para habilitar accesos alternativos con la API de Looker, consulta la página de documentación Habilita la opción de acceso alternativo.
Especifica el método utilizado para combinar los usuarios de OpenID Connect con una cuenta de Looker
En el campo Merge Users Using, especifica el método que se usará para fusionar los datos de acceso de Open ID Connect por primera vez con una cuenta de usuario existente. Las opciones son Looker Email/Password, Google, LDAP y SAML.
Si tienes varios sistemas de autenticación implementados, puedes especificar más de un sistema para combinar en este campo. Looker buscará usuarios de los sistemas enumerados en el orden en que se especifican. Por ejemplo, supongamos que creó algunos usuarios con correo electrónico y contraseña de Looker, habilitó LDAP y ahora desea usar OpenID Connect. En el ejemplo anterior, Looker se combinaría primero por correo electrónico o contraseña y, luego, por LDAP.
Cuando un usuario accede por primera vez con OpenID Connect, esta opción conecta al usuario con su cuenta existente mediante la búsqueda de una cuenta con una dirección de correo electrónico que coincida. Si no existe ninguna cuenta para el usuario, se creará una nueva.
Prueba la autenticación de usuarios
Cuando especifiques esta configuración, haz clic en el botón Probar para probar tu configuración de OpenID Connect.
Lea los resultados de la prueba detenidamente; algunas partes pueden tener éxito incluso si otras fallan.
Las pruebas redireccionarán a los extremos y abrirán una nueva pestaña del navegador. La pestaña muestra:
- Si Looker pudo comunicarse con los distintos extremos y validar
- Un seguimiento de la respuesta del extremo de autenticación
- La información del usuario que Looker obtiene del extremo de información del usuario
- Se recibieron las versiones decodificadas y sin procesar del token de ID
Puede usar esta prueba para verificar que la información recibida de los distintos extremos sea correcta y solucionar cualquier error.
Sugerencias:
- Puedes ejecutar esta prueba en cualquier momento, incluso si OpenID Connect está configurado parcialmente. Ejecutar una prueba puede ser útil durante la configuración para ver qué parámetros necesitan configuración.
- La prueba usa la configuración que ingresó en la página Autenticación de OpenID Connect, incluso si esa configuración no se guardó. La prueba no afectará ni cambiará la configuración de esa página.
Guardar y aplicar configuración
En primer lugar, prueba la configuración y lee los resultados detenidamente para verificar que se hayan realizado correctamente todas las partes. Si guardas información de configuración incorrecta de OpenID Connect, podrías bloquear a otros usuarios de Looker.
Una vez que hayas terminado de ingresar tu información y todas las pruebas se hayan aprobado, marca la opción Confirmé la configuración anterior y quiero habilitar la aplicación global y haz clic en Actualizar configuración para guardar los cambios.