Autenticación de SAML

Si tu instancia de Looker se creó después de Looker 22.10, la página SAML estará disponible en la sección Authentication del menú Administrador de forma predeterminada.

Si no ve la página SAML en la sección Autenticación del menú Administrador, haga clic en Comuníquese con nosotros para abrir una solicitud de asistencia en el Centro de ayuda de Looker.

La página SAML en la sección Authentication del menú Administrador le permite configurar Looker para autenticar usuarios mediante el lenguaje de marcado para confirmaciones de seguridad (SAML). En esta página, se describe ese proceso y se incluyen instrucciones para vincular grupos de SAML a funciones y permisos de Looker.

Proveedores de identidad y SAML

Las empresas usan diferentes proveedores de identidad (IdP) para coordinar con SAML (por ejemplo, Okta o OneLogin). Es posible que los términos usados en las siguientes instrucciones de configuración y en la IU no coincidan directamente con los que usa tu IdP. Para obtener aclaraciones durante la configuración, comunícate con el equipo interno de autenticación o SAML, o comunícate con el equipo de asistencia de Looker.

Looker supone que las solicitudes y aserciones de SAML se comprimirán; asegúrate de que tu IdP esté configurado como tal. Actualmente, las solicitudes de Looker al IdP no están firmadas.

Looker admite el acceso iniciado por IdP.

Parte del proceso de configuración debe completarse en el sitio web del IdP.

Okta ofrece una app de Looker, que es la forma recomendada de configurar Looker y Okta juntos.

Configura Looker en tu proveedor de identidad

El IdP de SAML necesitará la URL de la instancia de Looker para la cual el IdP de SAML debe PUBLICAR las aserciones de SAML. En tu IdP, podría llamarse "Post Back URL" "Recipient,"Destination" entre otros nombres.

La información que debes proporcionar es la URL en la que sueles acceder a tu instancia de Looker mediante el navegador, seguida de /samlcallback. Por ejemplo: none https://instance_name.looker.com/samlcallback

o

https://looker.mycompany.com/samlcallback

Algunos IdP también requieren que agregues :9999 después de la URL de tu instancia. Por ejemplo:

https://instance_name.looker.com:9999/samlcallback

Qué debes saber

Ten en cuenta los siguientes datos:

• Looker requiere SAML 2.0.
• No inhabilites la autenticación de SAML cuando accedas a Looker a través de SAML, a menos que hayas configurado un acceso alternativo en la cuenta. De lo contrario, podría bloquearse en la app.
• Looker puede migrar cuentas existentes a SAML con direcciones de correo electrónico que provengan de la configuración actual de correo electrónico y contraseña, LDAP o Google Auth. Podrás hacerlo en el proceso de configuración.

Cómo comenzar

Navegue a la página Autenticación de SAML en la sección Administrador de Looker para ver las siguientes opciones de configuración. Ten en cuenta que cualquier cambio en las opciones de configuración no tendrá efecto hasta que pruebes y guardes tu configuración en la parte inferior de la página.

Configuración de autenticación de SAML

Looker requiere la URL de IdP, la entidad emisora de IdP y el certificado de IdP para autenticar tu IdP.

Tu IdP puede ofrecer un documento XML de metadatos del IdP durante el proceso de configuración para Looker en el lado del IdP. Este archivo contiene toda la información solicitada en la sección Configuración de autenticación de SAML. Si tienes este archivo, puedes subirlo en el campo Metadatos de IdP, que propagará los campos obligatorios en esta sección. Como alternativa, puedes completar los campos obligatorios del resultado obtenido durante la configuración del IdP. No es necesario que llenes los campos si subes el archivo XML.

Metadatos de IdP: * Pega la URL pública del documento XML que contiene la información del IdP o pega el texto completo del documento aquí. Looker analizará ese archivo para propagar los campos obligatorios.

Si no subiste ni pegaste un documento XML de metadatos del IdP, ingresa la información de autenticación del IdP en los campos URL del IdP, Emitente del IdP y Certificado del IdP:

• URL de IdP: Es la URL a la que se autenticará Looker. Esto se llama URL de redireccionamiento en Okta.

• Entidad emisora del IdP: Es el identificador único del IdP. En Okta, se llama "clave externa".

• Certificado de IdP: Es la clave pública para permitir que Looker verifique la firma de las respuestas del IdP.

En conjunto, estos tres campos permiten que Looker confirme que un conjunto de aserciones de SAML firmadas en realidad provino de un IdP de confianza.

• SP Entity/IdP Audience: Looker no requiere este campo, pero muchos IdP lo requerirán. Si ingresas un valor en este campo, ese valor se enviará a tu IdP como Entity ID de Looker en las solicitudes de autorización. En ese caso, Looker solo aceptará respuestas de autorización que tengan este valor como Audience. Si tu IdP requiere un valor Audience, ingresa esa string aquí.

Este valor también se usa como el campo &issue;issuer" en los mensajes enviados al IdP. Por lo tanto, si tu IdP se queja de que está recibiendo un mensaje sin un &issuer", entonces debes completar esto. Puedes usar cualquier string que requiera tu IdP. En la mayoría de los casos, puedes usar "Looker". Si este campo está presente, tu IdP debe enviarlo como el campo "audience" en el mensaje que envía a Looker.

• Reloj permitido: Es la cantidad de segundos de desvío del reloj (la diferencia en las marcas de tiempo entre el IdP y Looker). Este valor suele ser el valor predeterminado de 0, pero algunos IdP pueden requerir libertad adicional para acceder correctamente.

Configuración de los atributos del usuario

En los siguientes campos, especifica el nombre del atributo en la configuración de SAML de tu IdP que contiene la información correspondiente para cada campo. Ingresar los nombres de los atributos de SAML le indica a Looker cómo asignar esos campos y extraer su información en el momento del acceso. Looker no se enfoca en cómo se construye esta información; es importante que la forma en que la ingresa en Looker coincida con la forma en que se definen los atributos en su IdP. Looker proporciona sugerencias predeterminadas sobre cómo construir esas entradas.

Atributos estándares

Deberás especificar estos atributos estándar:

• Email Attr: El nombre del atributo que el IdP usa para las direcciones de correo electrónico de los usuarios.

• Atribución de nombre: es el nombre de atributo que el IdP usa para los nombres de usuario.

• LName Attr: Es el nombre del atributo que el IdP usa para los apellidos de los usuarios.

Vincula atributos de SAML con los atributos de usuario de Looker

De forma opcional, puedes usar los datos de tus atributos de SAML para propagar automáticamente los valores en los atributos del usuario de Looker cuando un usuario acceda. Por ejemplo, si configuraste SAML para que el usuario establezca conexiones específicas con tu base de datos, puedes sincronizar los atributos de SAML con los del usuario de Looker para hacer que las conexiones de tu base de datos sean específicas del usuario en Looker.

Para vincular los atributos de SAML con los atributos de usuario de Looker correspondientes, haz lo siguiente:

1. Ingrese el nombre del atributo SAML en el campo Atributo SAML y el nombre del atributo de usuario de Looker con el que desea sincronizarlo en el campo Atributos de usuario de Looker.
2. Marque Obligatorio si desea solicitar un valor de atributo SAML para permitir que un usuario acceda.
3. Haga clic en + y repita estos pasos para agregar más pares de atributos.

Grupos y funciones

Tiene la opción de que Looker cree grupos que reflejen los grupos de SAML administrados de forma externa y, luego, asigne funciones de Looker a los usuarios según sus grupos de SAML duplicados. Cuando realizas cambios en tu membresía de grupos de SAML, esos cambios se propagan automáticamente en la configuración de grupos de Looker.

La duplicación de grupos de SAML te permite usar tu directorio SAML definido de forma externa para administrar grupos y usuarios de Looker. Esto, a su vez, te permite administrar la membresía de tu grupo para varias herramientas de software como servicio (SaaS), como Looker, en un solo lugar.

Si activas la opción Duplicar grupos de SAML, Looker creará un grupo de Looker para cada grupo de SAML que se ingrese en el sistema. Esos grupos de Looker se pueden ver en la página Grupos de la sección Administrador de Looker. Los grupos se pueden usar para asignar funciones a los miembros del grupo, configurar controles de acceso a contenido y asignar atributos de usuario.

Funciones y grupos predeterminados

De forma predeterminada, el interruptor Duplicar grupos de SAML está desactivado. En este caso, puedes establecer un grupo predeterminado para los usuarios nuevos de SAML. En los campos Grupos de usuarios nuevos y Funciones de usuarios nuevos, ingresa los nombres de los grupos o las funciones de Looker a los que deseas asignar usuarios nuevos de Looker cuando acceden por primera vez a Looker:

Estos grupos y funciones se aplican a los usuarios nuevos durante el acceso inicial. Los grupos y las funciones no se aplican a usuarios preexistentes y no se vuelven a aplicar si se los quita de los usuarios después del primer acceso.

Si más adelante habilitas la duplicación de grupos de SAML, se quitará esta configuración predeterminada para los usuarios en el próximo acceso y se reemplazará por las funciones asignadas en la sección Duplicar grupos de SAML. Estas opciones predeterminadas ya no estarán disponibles ni asignadas, y se reemplazarán por la configuración de grupos duplicados.

Habilita la duplicación de grupos de SAML

Si eliges duplicar tus grupos de SAML en Looker, activa el interruptor Duplicar grupos de SAML. Looker muestra esta configuración:

Estrategia del Buscador de grupos: Selecciona el sistema que usa el IdP para asignar grupos, que depende de tu IdP.

• Casi todos los IdP usan un valor de atributo único para asignar grupos, como se muestra en esta aserción de SAML de muestra:none <saml2:Attribute Name='Groups'> <saml2:AttributeValue >Everyone</saml2:AttributeValue> <saml2:AttributeValue >Admins</saml2:AttributeValue> </saml2:Attribute>En este caso, selecciona Grupos como valores de atributos únicos.

• Algunos IdP usan un atributo independiente para cada grupo y, luego, requieren un segundo atributo para determinar si un usuario es miembro de un grupo. A continuación, se muestra una aserción de SAML de muestra que muestra este sistema:none <saml2:Attribute Name='group_everyone'> <saml2:AttributeValue >yes</saml2:AttributeValue> </saml2:Attribute> <saml2:Attribute Name='group_admins'> <saml2:AttributeValue >no</saml2:AttributeValue> </saml2:Attribute>En este caso, selecciona Grupos como atributos individuales con valor de membresía.

Atributo de grupos: Looker muestra este campo cuando la Estrategia del Buscador de grupos está establecida en Grupos como valores de un solo atributo. Ingresa el nombre del Atributo de grupos que usa el IdP.

Group Member Value: Looker muestra este campo cuando la opción Group Finder Strategy está configurada en Groups as individual attributes with membership value. Ingresa el valor que indica que un usuario es miembro de un grupo.

Preferred Group Name/Roles/SAML Group ID: Este conjunto de campos le permite asignar un nombre de grupo personalizado y una o más funciones asignadas al grupo de SAML correspondiente en Looker:

1. Ingresa el ID del grupo SAML en el campo ID del grupo SAML. Los usuarios de SAML que se incluyan en el grupo SAML se agregarán al grupo duplicado en Looker.

2. Ingresa un nombre personalizado para el grupo duplicado en el campo Nombre personalizado. Este es el nombre que se mostrará en la página Grupos de la sección Administrador de Looker.

3. En el campo que está a la derecha del campo Nombre personalizado, seleccione una o más funciones de Looker que se asignarán a cada usuario del grupo.

4. Haz clic en + para agregar conjuntos de campos adicionales a fin de configurar grupos duplicados adicionales. Si tienes varios grupos configurados y deseas eliminar la configuración de un grupo, haz clic en la X junto al conjunto de campos de ese grupo.

Si editas un grupo duplicado que se haya configurado previamente en esta pantalla, la configuración del grupo cambiará, pero el grupo en sí permanecerá intacto. Por ejemplo, puedes cambiar el nombre personalizado de un grupo, lo que cambiaría la forma en que el grupo aparece en la página Grupos de Looker, pero no las funciones asignadas y los miembros del grupo. Si cambia el ID de grupo de SAML, se conservarán el nombre y las funciones del grupo, pero los miembros del grupo se reasignarán en función de los usuarios que sean miembros del grupo de SAML externo que tenga la nueva UD del grupo de SAML.

Las ediciones que se realicen en un grupo duplicado se aplicarán a los usuarios de ese grupo la próxima vez que accedan a Looker.

Administración avanzada de funciones

Si habilitaste el interruptor Duplicar grupos de SAML, Looker mostrará esta configuración. Las opciones de esta sección determinan cuánta flexibilidad tienen los administradores de Looker para configurar los grupos de Looker y los usuarios que se duplicaron desde SAML.

Por ejemplo, si desea que su grupo de Looker y la configuración de usuario coincidan estrictamente con la configuración de SAML, active estas opciones. Cuando las tres primeras opciones están habilitadas, los administradores de Looker no pueden modificar las membresías de los grupos duplicados y solo pueden asignar funciones a los usuarios mediante los grupos duplicados de SAML.

Si quieres tener más flexibilidad para personalizar tus grupos en Looker, desactiva estas opciones. Sus grupos de Looker seguirán reflejando su configuración de SAML, pero podrán realizar tareas adicionales de administración de grupos y usuarios dentro de Looker, como agregar usuarios de SAML a grupos específicos de Looker o asignar funciones de Looker directamente a los usuarios de SAML.

En las instancias nuevas de Looker o en las que no hay grupos duplicados configurados previamente, estas opciones están desactivadas de forma predeterminada.

Para las instancias existentes de Looker que tienen configurados grupos duplicados, estas opciones están activadas de forma predeterminada.

Si activas una configuración más restrictiva, los usuarios perderán la membresía del grupo o las funciones asignadas que se configuraron directamente en Looker. Esto sucede la próxima vez que esos usuarios acceden a Looker.

La sección Administración avanzada de funciones contiene estas opciones:

Impedir que los usuarios individuales de SAML reciban funciones directas: Activar esta opción evita que los administradores de Looker asignen funciones de Looker directamente a los usuarios de SAML. Los usuarios de SAML solo recibirán roles a través de sus membresías de grupo. Si se permite que los usuarios de SAML formen parte de grupos de Looker nativos (no duplicados), pueden heredar sus funciones de los grupos de SAML duplicados y de grupos nativos de Looker. Las funciones de los usuarios de SAML a las que se les asignaron funciones anteriormente de forma directa se quitarán la próxima vez que accedan.

Si esta opción está desactivada, los administradores de Looker pueden asignar funciones de Looker directamente a los usuarios de SAML como si estuvieran configuradas de forma nativa en Looker.

Impedir la membresía directa en grupos que no sean de SAML: Active esta opción para evitar que los administradores de Looker agreguen usuarios de SAML directamente a los grupos nativos de Looker. Si se permite que los grupos de SAML duplicados sean miembros de grupos nativos de Looker, los usuarios de SAML pueden retener la membresía en cualquier grupo de Looker superior. Los usuarios de SAML que se asignaron anteriormente a los grupos nativos de Looker se quitarán de esos grupos la próxima vez que accedan.

Si esta opción está desactivada, los administradores de Looker pueden agregar usuarios de SAML directamente a los grupos nativos de Looker.

Impedir la herencia de funciones de grupos que no sean de SAML: Activar esta opción evita que los miembros de grupos de SAML duplicados hereden funciones de grupos nativos de Looker. Cualquier usuario de SAML que haya heredado funciones de un grupo de Looker superior las perderá la próxima vez que acceda.

Si esta opción está desactivada, los grupos SAML duplicados o los usuarios de SAML que se agreguen como miembros de un grupo nativo de Looker heredarán las funciones asignadas al grupo superior de Looker.

La autenticación requiere función: Si esta opción está activada, los usuarios de SAML deben tener una función asignada. Los usuarios de SAML que no tengan una función asignada no podrán acceder a Looker.

Si esta opción está desactivada, los usuarios de SAML pueden autenticarse en Looker incluso si no tienen una función asignada. Los usuarios que no tengan una función asignada no podrán ver ningún dato ni realizar ninguna acción en Looker, pero podrán acceder a Looker.

Opciones de migración

Looker recomienda que habilite el acceso alternativo y proporcione una estrategia de combinación como se explica en esta sección.

Acceso alternativo para administradores y usuarios especificados

Los accesos de correo electrónico y contraseña de Looker siempre están inhabilitados para los usuarios normales cuando la autenticación de SAML está habilitada. Esta opción permite el acceso alternativo basado en el correo electrónico mediante /login/email para los administradores y para los usuarios especificados con el permiso login_special_email.

Activar esta opción es útil como resguardo durante la configuración de autenticación de SAML en caso de que ocurran problemas de configuración de SAML más adelante o si necesitas brindar asistencia a algunos usuarios que no tienen cuentas en tu directorio de SAML.

Para habilitar accesos alternativos con la API de Looker, consulta la página de documentación Habilita la opción de acceso alternativo.

Especifica el método que se usa para combinar los usuarios de SAML con una cuenta de Looker

En el campo Merge Users Using, especifique el método que se usará para fusionar los datos de acceso de SAML por primera vez con una cuenta de usuario existente. Las opciones son Looker Email/Password, LDAP y Google.

Si tienes más de un sistema implementado, puedes especificar más de un sistema para combinar en este campo. Looker buscará usuarios de los sistemas enumerados en el orden en que se especifican. Por ejemplo, supongamos que creó algunos usuarios con el correo electrónico y la contraseña de Looker, luego habilitó LDAP y ahora desea usar SAML. Looker se combinaría primero por correo electrónico y contraseña y, luego, por LDAP.

Cuando un usuario accede por primera vez mediante SAML, esta opción conecta al usuario con su cuenta existente mediante la búsqueda de la cuenta con una dirección de correo electrónico que coincida. Si no existe ninguna cuenta para el usuario, se creará una nueva.

Cómo probar la autenticación de usuarios

Haz clic en el botón Probar para probar la configuración. Las pruebas redireccionarán al servidor y abrirán una pestaña del navegador. La pestaña muestra:

• Si Looker pudo comunicarse con el servidor y validar.
• Los nombres que Looker obtiene del servidor. Debes validar que el servidor muestre los resultados adecuados.
• Un seguimiento para mostrar cómo se encontró la información. Usa el registro para solucionar problemas si la información es incorrecta. Si necesitas información adicional, puedes leer el archivo XML del servidor sin procesar.

Lee los resultados de la prueba con atención, ya que algunas partes pueden tener éxito incluso si otras fallan.

Sugerencias:

• Puedes ejecutar esta prueba en cualquier momento, incluso si SAML está configurado parcialmente. Ejecutar una prueba puede ser útil durante la configuración para ver qué parámetros necesitan configuración.
• La prueba utiliza la configuración que ingresó en la página Autenticación de SAML, incluso si no se guardó. La prueba no afectará ni cambiará la configuración de esa página.
• Durante la prueba, Looker pasa información al IdP mediante el parámetro SAML RelayState. El IdP debe mostrar este valor de RelayState a Looker sin modificar.

Asegúrate de verificar que todas las pruebas estén aprobadas antes de hacer clic en Actualizar configuración. Si guardas información de configuración de SAML incorrecta, tú y otras personas no podrán usar Looker.

Guardar y aplicar configuración

Una vez que hayas terminado de ingresar la información y de que todas las pruebas se hayan aprobado, marca la opción Confirmé la configuración anterior y quiero aplicarla en todo el mundo y haz clic en Actualizar configuración para guardarla.

Comportamiento de acceso del usuario

Cuando un usuario intenta acceder a una instancia de Looker mediante SAML, se abre la página Acceder. El usuario debe hacer clic en el botón Autenticar para iniciar la autenticación a través de SAML.

Este es el comportamiento predeterminado si el usuario no tiene una sesión de Looker activa.

Si desea que sus usuarios accedan directamente a su instancia de Looker después de que el IdP los haya autenticado y omitan la página Acceder, active Omitir página de acceso en Comportamiento de acceso.

Looker debe habilitar la función Omitir página de acceso. Para actualizar tu licencia de esta función, haz clic en Comunícate con nosotros o comunícate con tu administrador de cuentas o abre una solicitud de asistencia en el Centro de ayuda de Looker.

Cuando Omitir página de acceso está habilitada, la secuencia de acceso del usuario es la siguiente:

1. El usuario intenta conectarse a una URL de Looker (por ejemplo, instance_name.looker.com).

2. Looker determina si el usuario ya tiene una sesión activa habilitada.

3. Si el usuario tiene una sesión activa habilitada, se lo dirigirá a la URL solicitada.

4. Si el usuario no tiene una sesión activa habilitada, se lo redirecciona al IdP. El IdP autentica al usuario cuando accede correctamente al IdP. Luego, Looker autentica al usuario cuando el IdP lo envía de vuelta con información que indica que el usuario se autenticó con el IdP.

5. Si la autenticación en el IdP se realizó correctamente, Looker valida las aserciones de SAML, acepta la autenticación, actualiza la información del usuario y lo reenvía a la URL solicitada, sin pasar por la página Acceder.

6. Si el usuario no puede acceder al IdP, o si no tiene autorización del IdP para usar Looker, según el IdP, permanecerá en el sitio del IdP o se lo redireccionará a la página de acceso de Looker.

La respuesta de SAML excede el límite

Si los usuarios que intentan autenticarse reciben errores que indican que la respuesta de SAML excedió el tamaño máximo, puede aumentar el tamaño máximo de respuesta de SAML permitido.

En el caso de las instancias alojadas en Looker, comunícate con el equipo de asistencia de Looker para actualizar el tamaño máximo de respuesta de SAML. Abre una solicitud de asistencia en el Centro de ayuda de Looker. Para ello, haz clic en Comunícate con nosotros.

Para las instancias de Looker alojadas por el cliente, puedes establecer el tamaño máximo de respuesta de SAML en cantidad de bytes con la variable de entorno MAX_SAML_RESPONSE_BYTESIZE. Por ejemplo:

export MAX_SAML_RESPONSE_BYTESIZE=500000

El tamaño predeterminado para la respuesta máxima de SAML es de 250,000 bytes.