SAML-Authentifizierung

Wenn Ihre Looker-Instanz nach Looker 22.10 erstellt wurde, ist die Seite SAML standardmäßig im Abschnitt Authentifizierung des Menüs Admin verfügbar.

Wenn die Seite SAML im Abschnitt Authentifizierung des Menüs Admin nicht angezeigt wird, klicken Sie auf Kontakt, um eine Supportanfrage in der Look-Hilfe von Looker zu öffnen.

Auf der Seite SAML im Abschnitt Authentifizierung des Menüs Admin können Sie Looker so konfigurieren, dass Nutzer mit der Security Assertion Markup Language (SAML) authentifiziert werden. Auf dieser Seite wird dieser Vorgang beschrieben und es wird beschrieben, wie Sie SAML-Gruppen mit Looker-Rollen und -Berechtigungen verknüpfen.

SAML und Identitätsanbieter

Unternehmen verwenden unterschiedliche Identitätsanbieter (Identity Provider, IdP), um sich mit SAML zu koordinieren, z. B. Okta oder OneLogin. Die in der folgenden Einrichtungsanleitung und in der Benutzeroberfläche verwendeten Begriffe stimmen möglicherweise nicht direkt mit den von Ihrem IdP verwendeten überein. Weitere Informationen während der Einrichtung erhalten Sie von Ihrem internen SAML- oder Authentifizierungsteam oder vom Looker-Support.

Looker geht davon aus, dass SAML-Anfragen und -Assertions komprimiert werden. Achten Sie darauf, dass Ihr IdP entsprechend konfiguriert ist. Derzeit sind die Anfragen von Looker an den IdP nicht signiert.

Looker unterstützt die vom Identitätsanbieter initiierte Anmeldung.

Einige Einrichtungsschritte müssen auf der Website des Identitätsanbieters durchgeführt werden.

OKta bietet eine Looker-App, die empfohlen wird, um Looker und Okta gemeinsam zu konfigurieren.

Looker bei Ihrem Identitätsanbieter einrichten

Ihr SAML-IdP benötigt die URL der Looker-Instanz, an die der SAML-IdP SAML-Assertions POSTEN soll. In Ihrem IdP kann er unter anderem „Post Back URL“, „"Recipient“, „&&t“ oder „Destination“ genannt werden.

Geben Sie die URL an, unter der Sie normalerweise über den Browser auf die Looker-Instanz zugreifen, gefolgt von /samlcallback. Beispiel: none https://instance_name.looker.com/samlcallback

oder

https://looker.mycompany.com/samlcallback

Bei einigen IdPs müssen Sie :9999 nach der Instanz-URL hinzufügen. Beispiel:

https://instance_name.looker.com:9999/samlcallback

Wichtige Informationen

Beachten Sie Folgendes:

• Looker erfordert SAML 2.0.
• Deaktivieren Sie die SAML-Authentifizierung nicht, während Sie in Looker über SAML angemeldet sind, es sei denn, Sie haben ein anderes Konto eingerichtet. Andernfalls könnten Sie aus der App ausgesperrt werden.
• Looker kann vorhandene Konten mithilfe von E-Mail-Adressen aus aktuellen E-Mail-/Passwort-Einrichtungen, LDAP oder Google Auth zu SAML migrieren. Dies können Sie bei der Einrichtung konfigurieren.

Erste Schritte

Rufen Sie in Looker im Abschnitt Admin die Seite SAML Authentication (SAML-Authentifizierung) auf, um die folgenden Konfigurationsoptionen zu sehen. Änderungen an den Konfigurationsoptionen werden erst wirksam, wenn Sie die Einstellungen unten auf der Seite testen und speichern.

Einstellungen für die SAML-Authentifizierung

Für Looker sind die IdP-URL, der IdP-Aussteller und das IdP-Zertifikat erforderlich, um Ihren IdP zu authentifizieren.

Ihr IdP kann während der Konfiguration für Looker auf der IdP-Seite ein XML-Dokument mit IdP-Metadaten anbieten. Diese Datei enthält alle erforderlichen Informationen im Abschnitt SAML Auth Settings (Einstellungen für die SAML-Authentifizierung). Wenn Sie diese Datei haben, können Sie sie in das Feld IdP Metadata (IdP-Metadaten) hochladen. Dadurch werden die Pflichtfelder in diesem Abschnitt ausgefüllt. Alternativ können Sie die Pflichtfelder aus der Ausgabe ausfüllen, die Sie während der IdP-Konfiguration erhalten haben. Sie müssen die Felder nicht ausfüllen, wenn Sie die XML-Datei hochladen.

IdP-Metadaten:* Fügen Sie entweder die öffentliche URL des XML-Dokuments mit den IdP-Informationen ein oder fügen Sie den gesamten Text des Dokuments hier ein. Looker parst diese Datei, um die Pflichtfelder auszufüllen.

Wenn Sie kein XML-Dokument mit IdP-Metadaten hochgeladen oder eingefügt haben, geben Sie stattdessen Ihre Authentifizierungsinformationen in die Felder IdP-URL, IdP-Aussteller und IdP-Zertifikat ein:

• IdP URL (URL des Identitätsanbieters): Die URL, an die Looker zur Authentifizierung von Nutzern geht. Sie wird in Okta als Weiterleitungs-URL bezeichnet.

• IdP Issuer (Aussteller des Identitätsanbieters): die eindeutige Kennung des IdP Das wird in Okta als „Externer Schlüssel“ bezeichnet.

• IdP Certificate (IdP-Zertifikat): Der öffentliche Schlüssel, mit dem Looker die Signatur von IdP-Antworten prüfen kann.

Zusammengenommen kann Looker anhand dieser drei Felder bestätigen, dass eine Reihe von signierten SAML-Assertions tatsächlich von einem vertrauenswürdigen IdP stammt.

• SP Entity/IdP Audience (Entitäten des Identitätsanbieters/IdP): Dieses Feld ist für Looker nicht erforderlich, aber für viele IdPs ist dieses Feld erforderlich. Wenn Sie in dieses Feld einen Wert eingeben, wird er bei Autorisierungsanfragen als „Entity ID von Looker“ an Ihren IdP gesendet. In diesem Fall akzeptiert Looker nur Autorisierungsantworten, die diesen Wert als Audience haben. Wenn Ihr IdP einen Audience-Wert erfordert, geben Sie diesen String hier ein.

Dieser Wert wird auch als Feld „issuer"“ in Nachrichten verwendet, die an den IdP gesendet werden. Wenn Ihr IdP also beschwert, dass er eine Nachricht ohne den Aussteller erhalten hat, müssen Sie dies angeben. Sie können einen beliebigen String verwenden, den Ihr IdP möglicherweise benötigt. In den meisten Fällen können Sie &Lookt" verwenden. Wenn dieses Feld vorhanden ist, muss Ihr IdP es als Feld „audience“ in der Nachricht senden, die es an Looker sendet.

• Zulässiger Drift der Uhr: Das ist die zulässige Anzahl von Sekunden des Drifts (der Unterschied zwischen den Zeitstempeln zwischen IdP und Looker). Der Standardwert ist in der Regel 0, aber bei einigen IdPs ist eventuell ein zusätzlicher Spielraum für erfolgreiche Anmeldungen erforderlich.

Einstellungen für Nutzerattribute

Geben Sie in den folgenden Feldern den Attributnamen in der SAML-Konfiguration Ihres IdP an, der die entsprechenden Informationen für jedes Feld enthält. Wenn Sie die SAML-Attributnamen eingeben, wird Looker mitgeteilt, wie diese Felder zugeordnet und die Informationen bei der Anmeldung extrahiert werden sollen. Bei Looker spielt die Erstellung dieser Informationen keine Rolle. Es ist nur wichtig, dass die Eingabe in Looker mit der Definition der Attribute in Ihrem IdP übereinstimmt. Looker bietet Standardvorschläge zum Erstellen dieser Eingaben.

Standardattribute

Sie müssen diese Standardattribute angeben:

• Email Attr (E-Mail-Attraktivität): Der Attributname, den Ihr IdP für E-Mail-Adressen von Nutzern verwendet.

• FName-Attr: Der Attributname, den Ihr IdP für Vornamen von Nutzern verwendet.

• LName Attr (Attributname:): Der Attributname, den Ihr IdP für Nachnamen von Nutzern verwendet.

SAML-Attribute mit Looker-Nutzerattributen koppeln

Sie können optional die Daten in Ihren SAML-Attributen verwenden, um die Werte in Looker-Nutzerattributen automatisch auszufüllen, wenn sich ein Nutzer anmeldet. Wenn Sie beispielsweise SAML so konfiguriert haben, dass nutzerspezifische Verbindungen zu Ihrer Datenbank hergestellt werden, können Sie Ihre SAML-Attribute mit Looker-Nutzerattributen koppeln, um Ihre Datenbankverbindungen in Looker nutzerspezifisch zu machen.

So koppeln Sie SAML-Attribute mit entsprechenden Looker-Nutzerattributen:

1. Geben Sie in das Feld SAML Attribute den Namen des SAML-Attributs und in das Feld Looker User Attributes (Looker-Nutzerattribute) den Namen des gewünschten Looker-Nutzerattributs ein.
2. Klicken Sie auf Required (Erforderlich), wenn ein SAML-Attributwert erforderlich sein soll, damit sich ein Nutzer anmelden kann.
3. Klicken Sie auf + und wiederholen Sie diese Schritte, um weitere Attributpaare hinzuzufügen.

Gruppen und Rollen

Sie können für Looker Gruppen erstellen, die Ihre extern verwalteten SAML-Gruppen spiegeln und dann Looker-Rollen basierend auf den gespiegelten SAML-Gruppen Nutzern zuweisen. Wenn Sie Änderungen an Ihrer SAML-Gruppenmitgliedschaft vornehmen, werden diese Änderungen automatisch in die Gruppenkonfiguration von Looker übernommen.

Wenn Sie SAML-Gruppen spiegeln, können Sie Ihr extern definiertes SAML-Verzeichnis verwenden, um Looker-Gruppen und -Nutzer zu verwalten. Dadurch können Sie Ihre Gruppenmitgliedschaft für mehrere SaaS-Tools (Software as a Service) wie Looker an einem Ort verwalten.

Wenn Sie die Option SAML-Gruppen spiegeln aktivieren, erstellt Looker für jede in das System eingeführte SAML-Gruppe eine Looker-Gruppe. Sie können diese Looker-Gruppen in Looker auf der Seite Gruppen des Abschnitts Admin aufrufen. Mit Gruppen können Sie Gruppenrollen zuweisen, Zugriffssteuerungen für Inhalte festlegen und Nutzerattribute zuweisen.

Standardgruppen und -rollen

Der Schalter Spiegeln Sie SAML-Gruppen ist standardmäßig deaktiviert. In diesem Fall können Sie eine Standardgruppe für neue SAML-Nutzer festlegen. Geben Sie in den Feldern Neue Nutzergruppen und Neue Nutzerrollen die Namen der Looker-Gruppen oder -Rollen ein, denen Sie neue Looker-Nutzer zuweisen möchten, wenn sie sich zum ersten Mal in Looker anmelden.

Diese Gruppen und Rollen werden bei der ersten Anmeldung auf neue Nutzer angewendet. Die Gruppen und Rollen werden nicht auf vorhandene Nutzer angewendet und sie werden nicht noch einmal zugewiesen, wenn sie nach der ersten Anmeldung aus den Nutzern entfernt werden.

Wenn Sie die Spiegel-SAML-Gruppen später aktivieren, werden diese Standardeinstellungen für Nutzer bei der nächsten Anmeldung entfernt und durch die im Bereich SAML-Gruppen spiegeln zugewiesenen Rollen ersetzt. Diese Standardoptionen sind nicht mehr verfügbar oder zugewiesen und werden vollständig durch die Konfiguration der gespiegelten Gruppen ersetzt.

Spiegel-SAML-Gruppen aktivieren

Wenn Sie Ihre SAML-Gruppen in Looker spiegeln möchten, aktivieren Sie den Schalter SAML-Gruppen spiegeln. Looker zeigt diese Einstellungen an:

Group Finder-Strategie: Wählen Sie das System aus, das der IdP verwendet, um Gruppen zuzuweisen. Dies hängt von Ihrem IdP ab.

• Fast alle IdPs verwenden einen einzelnen Attributwert, um Gruppen zuzuweisen, wie in dieser Beispiel-SAML-Assertion gezeigt: none <saml2:Attribute Name='Groups'> <saml2:AttributeValue >Everyone</saml2:AttributeValue> <saml2:AttributeValue >Admins</saml2:AttributeValue> </saml2:Attribute> In diesem Fall wählen Sie Gruppen als Werte einzelner Attribute aus.

• Einige IdPs verwenden für jede Gruppe ein separates Attribut und benötigen dann ein zweites Attribut, um festzustellen, ob ein Nutzer Mitglied einer Gruppe ist. Unten sehen Sie ein Beispiel für eine SAML-Assertion, die dieses System zeigt: none <saml2:Attribute Name='group_everyone'> <saml2:AttributeValue >yes</saml2:AttributeValue> </saml2:Attribute> <saml2:Attribute Name='group_admins'> <saml2:AttributeValue >no</saml2:AttributeValue> </saml2:Attribute> In diesem Fall wählen Sie Gruppen als einzelne Attribute mit Mitgliedschaftswert aus.

Gruppenattribut: Looker zeigt dieses Feld an, wenn die Gruppenfinder-Strategie auf Gruppen als Werte eines einzelnen Attributs festgelegt ist. Geben Sie den Namen des Gruppenattributs ein, der vom IdP verwendet wird.

Gruppenmitgliedswert: Looker zeigt dieses Feld an, wenn die Gruppenfinder-Strategie auf Gruppen als einzelne Attribute mit Mitgliedschaftswert festgelegt ist. Geben Sie den Wert ein, der angibt, dass ein Nutzer Mitglied einer Gruppe ist.

Bevorzugter Gruppenname/Rollen/SAML-Gruppen-ID: Mit diesen Feldern können Sie einen benutzerdefinierten Gruppennamen und eine oder mehrere Rollen zuweisen, die der entsprechenden SAML-Gruppe in Looker zugewiesen sind:

1. Geben Sie die SAML-Gruppen-ID in das Feld SAML Group ID (SAML-Gruppen-ID) ein. SAML-Nutzer, die in der SAML-Gruppe enthalten sind, werden in Looker zur Spiegelgruppe hinzugefügt.

2. Geben Sie in das Feld Benutzerdefinierter Name einen benutzerdefinierten Namen für die gespiegelte Gruppe ein. Das ist der Name, der in Looker auf der Seite Gruppen im Abschnitt Admin angezeigt wird.

3. Wählen Sie im Feld rechts neben dem Feld Benutzerdefinierter Name eine oder mehrere Looker-Rollen aus, die jedem Nutzer in der Gruppe zugewiesen werden sollen.

4. Klicken Sie auf +, um weitere Felder hinzuzufügen, um zusätzliche gespiegelte Gruppen zu konfigurieren. Wenn Sie mehrere Gruppen konfiguriert haben und die Konfiguration für eine Gruppe entfernen möchten, klicken Sie neben den Gruppen dieser Gruppe auf X.

Wenn Sie eine gespiegelte Gruppe bearbeiten, die zuvor in diesem Bildschirm konfiguriert wurde, ändert sich die Konfiguration der Gruppe, die Gruppe selbst bleibt jedoch intakt. Beispiel: Sie können den benutzerdefinierten Namen einer Gruppe ändern. Dadurch ändert sich die Darstellung der Gruppe auf der Gruppenseite von Looker, nicht jedoch die zugewiesenen Rollen und Gruppenmitglieder. Wenn Sie die SAML-Gruppen-ID ändern, werden der Gruppenname und die Rollen beibehalten, aber die Mitglieder der Gruppe werden basierend auf den Nutzern neu zugewiesen, die Mitglieder der externen SAML-Gruppe mit der neuen UDUD-Gruppe sind.

Alle Änderungen an einer gespiegelten Gruppe werden auf die Nutzer dieser Gruppe angewendet, wenn sie sich das nächste Mal in Looker anmelden.

Erweiterte Rollenverwaltung

Wenn Sie den Schalter Spiegeln Sie SAML-Gruppen aktiviert haben, zeigt Looker diese Einstellungen an. Die Optionen in diesem Abschnitt bestimmen, wie viel Flexibilität Looker-Administratoren beim Konfigurieren von Looker-Gruppen und Nutzern haben, die aus SAML gespiegelt wurden.

Wenn Sie beispielsweise möchten, dass Ihre Looker-Gruppe und Nutzerkonfiguration genau mit Ihrer SAML-Konfiguration übereinstimmen, aktivieren Sie diese Optionen. Wenn alle ersten drei Optionen aktiviert sind, können Looker-Administratoren die Mitgliedschaft in Spiegelgruppen nicht ändern und Nutzern nur über SAML-Spiegelgruppen Rollen zuweisen.

Wenn Sie Ihre Gruppen noch flexibler anpassen möchten, deaktivieren Sie diese Optionen. Ihre Looker-Gruppen spiegeln weiterhin Ihre SAML-Konfiguration wider, Sie können jedoch zusätzliche Gruppen- und Nutzerverwaltung in Looker vornehmen, z. B. SAML-Nutzer zu Looker-spezifischen Gruppen hinzufügen oder Looker-Rollen direkt SAML-Nutzern zuweisen.

Diese Optionen sind für neue Looker-Instanzen oder Instanzen ohne konfigurierte Spiegelgruppen standardmäßig deaktiviert.

Bei vorhandenen Looker-Instanzen, für die derzeit Spiegelgruppen konfiguriert sind, sind diese Optionen standardmäßig aktiviert.

Wenn Sie restriktivere Einstellungen aktivieren, verlieren Nutzer die Gruppenmitgliedschaft oder zugewiesene Rollen, die direkt in Looker konfiguriert wurden. Dies geschieht, wenn sich diese Nutzer das nächste Mal in Looker anmelden.

Der Abschnitt Erweiterte Rollenverwaltung enthält folgende Optionen:

Verhindern, dass einzelne SAML-Nutzer direkte Rollen erhalten: Wenn Sie diese Option aktivieren, können Looker-Administratoren Looker-Rollen nicht direkt SAML-Nutzern zuweisen. SAML-Nutzer erhalten Rollen nur über ihre Gruppenmitgliedschaften. Wenn SAML-Nutzer Mitglied in nativen (nicht gespiegelten) Looker-Gruppen sind, können sie weiterhin ihre Rollen aus gespiegelten SAML-Gruppen und aus nativen Looker-Gruppen übernehmen. Bei allen SAML-Nutzern, denen zuvor direkt eine Rolle zugewiesen wurde, werden diese Rollen bei der nächsten Anmeldung entfernt.

Wenn diese Option deaktiviert ist, können Looker-Administratoren Looker-Rollen direkt SAML-Nutzern zuweisen, so als wären sie nativ in Looker konfiguriert.

Direkte Mitgliedschaft in Gruppen ohne SAML verhindern: Wenn Sie diese Option aktivieren, können Looker-Administratoren keine SAML-Nutzer direkt zu nativen Looker-Gruppen hinzufügen. Wenn gespiegelte SAML-Gruppen Mitglieder nativer Looker-Gruppen sein dürfen, können SAML-Nutzer die Mitgliedschaft in allen übergeordneten Looker-Gruppen behalten. SAML-Nutzer, die zuvor nativen Looker-Gruppen zugewiesen waren, werden bei der nächsten Anmeldung aus diesen Gruppen entfernt.

Wenn diese Option deaktiviert ist, können Looker-Administratoren SAML-Nutzer direkt zu nativen Looker-Gruppen hinzufügen.

Rollenübernahme von Gruppen ohne SAML verhindern: Wenn Sie diese Option aktivieren, verhindern Sie, dass Mitglieder gespiegelter SAML-Gruppen Rollen aus nativen Looker-Gruppen übernehmen. Alle SAML-Nutzer, die zuvor Rollen einer übergeordneten Looker-Gruppe übernommen haben, verlieren diese Rollen bei der nächsten Anmeldung.

Wenn diese Option deaktiviert ist, übernehmen gespiegelte SAML-Gruppen oder SAML-Nutzer, die als Mitglieder einer nativen Looker-Gruppe hinzugefügt werden, die Rollen, die der übergeordneten Looker-Gruppe zugewiesen sind.

Auth erfordert Rolle: Wenn diese Option aktiviert ist, müssen SAML-Nutzer eine Rolle haben. SAML-Nutzer, denen keine Rolle zugewiesen ist, können sich überhaupt nicht bei Looker anmelden.

Wenn diese Option deaktiviert ist, können sich SAML-Nutzer bei Looker authentifizieren, auch wenn ihnen keine Rolle zugewiesen ist. Ein Nutzer, dem keine Rolle zugewiesen ist, kann in Looker keine Daten sehen oder Aktionen ausführen. Er kann sich jedoch in Looker anmelden.

Migrationsoptionen

Looker empfiehlt, dass Sie die alternative Anmeldung aktivieren und eine Zusammenführungsstrategie angeben, wie in diesem Abschnitt erläutert.

Alternative Anmeldung für Administratoren und bestimmte Nutzer

E-Mail-/Passwort-Anmeldungen von Looker sind für normale Nutzer immer deaktiviert, wenn die SAML-Authentifizierung aktiviert ist. Bei dieser Option ist für Administratoren und bestimmte Nutzer mit der Berechtigung login_special_email eine alternative E-Mail-basierte Anmeldung mit /login/email möglich.

Das Aktivieren dieser Option ist nützlich, wenn Sie später bei der SAML-Authentifizierung Probleme mit der SAML-Authentifizierung haben oder wenn einige Nutzer in Ihrem SAML-Verzeichnis keine Konten haben sollen.

Wie Sie alternative Anmeldungen über die Looker API aktivieren, erfahren Sie auf der Dokumentationsseite Alternative Anmeldeoption aktivieren.

Methode zum Zusammenführen von SAML-Nutzern mit einem Looker-Konto angeben

Geben Sie im Feld Nutzer zusammenführen über die Methode an, die verwendet werden soll, um eine erstmalige SAML-Anmeldung mit einem vorhandenen Nutzerkonto zusammenzuführen. Die Optionen sind Looker Email/Password, LDAP und Google.

Wenn Sie mehrere Systeme haben, können Sie in diesem Feld auch mehrere Systeme angeben, die zusammengeführt werden sollen. Looker sucht Nutzer in den Systemen in der angegebenen Reihenfolge. Angenommen, Sie haben einige Nutzer mit der E-Mail-Adresse und dem Passwort von Looker erstellt, dann LDAP aktiviert und möchten nun SAML verwenden. Looker wird zuerst nach E-Mail-Adresse/Passwort und dann nach LDAP zusammengeführt.

Wenn sich ein Nutzer zum ersten Mal über SAML anmeldet, verbindet er diese mit seinem bestehenden Konto, indem er das Konto mit einer passenden E-Mail-Adresse findet. Wenn für den Nutzer kein Konto vorhanden ist, wird ein neues erstellt.

Nutzerauthentifizierung testen

Klicken Sie auf die Schaltfläche Testen, um die Einstellungen zu testen. Tests werden an den Server weitergeleitet und es wird ein Browsertab geöffnet. Auf dem Tab wird Folgendes angezeigt:

• Gibt an, ob Looker mit dem Server kommunizieren und validieren konnte.
• Die Namen, die Looker vom Server erhält. Sie müssen überprüfen, ob der Server die richtigen Ergebnisse zurückgibt.
• Ein Trace, das zeigt, wie die Informationen gefunden wurden. Verwenden Sie den Trace, um Fehler zu beheben. Weitere Informationen finden Sie in der rohen XML-Serverdatei.

Lesen Sie die Testergebnisse sorgfältig durch, da einige Teile des Tests auch dann erfolgreich sein können, wenn andere nicht erfolgreich sind.

Tipps:

• Sie können diesen Test jederzeit ausführen, auch wenn SAML nur teilweise konfiguriert ist. Ein Test kann während der Konfiguration hilfreich sein, um herauszufinden, welche Parameter konfiguriert werden müssen.
• Für den Test werden die auf der Seite SAML Authentication eingegebenen Einstellungen verwendet, auch wenn diese Einstellungen nicht gespeichert wurden. Der Test hat keine Auswirkungen auf die Einstellungen auf dieser Seite und ändert sie auch nicht.
• Während des Tests übergibt Looker Informationen mithilfe des SAML-Parameters RelayState an den IdP. Der IdP sollte diesen RelayState-Wert unverändert an Looker zurückgeben.

Prüfen Sie, ob alle Tests erfolgreich sind, bevor Sie auf Einstellungen aktualisieren klicken. Das Speichern falscher SAML-Konfigurationsinformationen könnte dazu führen, dass Sie und andere sich von Looker abhalten könnten.

Einstellungen speichern und anwenden

Wenn Sie alle Informationen eingegeben haben und alle Tests bestanden wurden, klicken Sie auf das Kästchen Ich habe die obige Konfiguration bestätigt und sollen sie weltweit anwenden. Klicken Sie zum Speichern auf Einstellungen aktualisieren.

Anmeldeverhalten des Nutzers

Wenn ein Nutzer versucht, sich über SAML bei einer Looker-Instanz anzumelden, wird die Seite Login geöffnet. Der Nutzer muss auf die Schaltfläche Authentifizieren klicken, um die Authentifizierung über SAML zu starten.

Dies ist das Standardverhalten, wenn der Nutzer noch keine aktive Looker-Sitzung hat.

Wenn sich Ihre Nutzer direkt nach der Authentifizierung durch den IdP in Ihrer Looker-Instanz anmelden und die Seite Anmelden umgehen sollen, aktivieren Sie unter Anmeldeverhalten die Option Anmeldeseite umgehen.

Die Funktion Anmeldeseite umgehen muss von Looker aktiviert werden. Wenn Sie die Lizenz für diese Funktion aktualisieren möchten, wenden Sie sich an Ihren Account Manager oder öffnen Sie eine Supportanfrage in der Looker-Hilfe. Klicken Sie dazu auf Kontakt.

Wenn die Option Anmeldeseite umgehen aktiviert ist, sieht die Nutzeranmeldung so aus:

1. Der Nutzer versucht, eine Verbindung zu einer Looker-URL herzustellen, z. B. instance_name.looker.com.

2. Looker ermittelt, ob der Nutzer bereits eine aktive Sitzung aktiviert hat.

3. Wenn der Nutzer eine aktive Sitzung aktiviert hat, wird er zur angeforderten URL weitergeleitet.

4. Wenn der Nutzer keine aktive Sitzung aktiviert hat, wird er an den IdP weitergeleitet. Der IdP authentifiziert den Nutzer, wenn er sich erfolgreich beim IdP anmeldet. Looker authentifiziert dann den Nutzer, wenn der IdP den Nutzer zurück an Looker sendet, und gibt an, dass der Nutzer beim IdP authentifiziert ist.

5. Wenn die Authentifizierung beim Identitätsanbieter erfolgreich war, validiert Looker die SAML-Assertions, akzeptiert die Authentifizierung, aktualisiert die Nutzerinformationen und leitet den Nutzer an die angeforderte URL weiter. Dabei wird die Seite Anmelden umgangen.

6. Wenn sich der Nutzer nicht beim IdP anmelden kann oder wenn er nicht vom IdP autorisiert ist, Looker zu verwenden, bleibt er je nach IdP entweder auf der IdP-Website oder wird zur Looker-Anmeldeseite weitergeleitet.

SAML-Antwort überschreitet Limit

Wenn Nutzer, die sich authentifizieren möchten, eine Fehlermeldung erhalten, die darauf hinweist, dass die SAML-Antwort die maximale Größe überschritten hat, können Sie die maximal zulässige Größe der SAML-Antwort erhöhen.

Wenden Sie sich bei für Looker gehosteten Instanzen an den Looker-Support, um die maximale SAML-Antwortgröße zu aktualisieren. Öffnen Sie eine Supportanfrage in der Looker-Hilfe, indem Sie auf Kontakt klicken.

Für vom Kunden gehostete Looker-Instanzen können Sie die maximale SAML-Antwortgröße in Byte mit der Umgebungsvariablen MAX_SAML_RESPONSE_BYTESIZE festlegen. Beispiel:

export MAX_SAML_RESPONSE_BYTESIZE=500000

Die Standardeinstellung für die maximale SAML-Antwortgröße ist 250.000 Byte.