Looker fornisce l'autenticazione a due fattori (2FA) come un ulteriore livello di sicurezza per proteggere i dati a cui è possibile accedere tramite Looker. Se l'autenticazione a 2 fattori è abilitata, ogni utente che esegue l'accesso deve eseguire l'autenticazione con un codice monouso generato dal proprio dispositivo mobile. Non esiste un'opzione per attivare 2FA per un sottoinsieme di utenti.
La pagina Autenticazione a due fattori nella sezione Autenticazione del menu Amministratore consente di attivare e configurare 2FA.
L'autenticazione a due fattori non influisce sull'uso dell'API Looker.
L'autenticazione a due fattori non influisce sull'autenticazione tramite sistemi esterni come LDAP, SAML, Google OAuth o OpenID Connect. L'autenticazione a due fattori incide su eventuali credenziali di accesso alternative utilizzate con questi sistemi.
Utilizzare l'autenticazione a due fattori
Di seguito è riportato il flusso di lavoro generale per la configurazione e l'utilizzo della tecnologia 2FA. Tieni presente i requisiti di sincronizzazione dell'ora, necessari per il corretto funzionamento della 2FA.
L'amministratore abilita 2FA nelle impostazioni di amministrazione di Looker.
Quando attivi 2FA, tutti gli utenti che hanno eseguito l'accesso a Looker verranno disconnessi e dovranno accedere di nuovo utilizzando 2FA.
I singoli utenti installano l'app iPhone o l'app Android di Google Authenticator sui propri dispositivi mobili.
Al primo accesso, all'utente verrà mostrata la foto di un codice QR sullo schermo del suo computer, che scansionerà con il proprio telefono utilizzando l'app Google Authenticator:
Se l'utente non riesce a scansionare un codice QR con il proprio telefono, è disponibile anche un'opzione per generare un codice che può inserire sul telefono.
Dopo aver completato questo passaggio, gli utenti saranno in grado di generare chiavi di autenticazione per Looker.
All'accesso successivo a Looker, l'utente dovrà inserire una chiave di autenticazione dopo aver inviato il proprio nome utente e la propria password.
Se un utente attiva l'opzione Questo è un computer attendibile, la chiave autentica il browser di accesso per una finestra di 30 giorni. Durante questo periodo l'utente può accedere soltanto con il nome utente e la password. Ogni 30 giorni Looker richiede a ogni utente di eseguire nuovamente l'autenticazione del browser con Google Authenticator.
Requisiti per la sincronizzazione dell'ora
Google Authenticator genera token basati sul tempo, che richiedono la sincronizzazione dell'ora tra il server Looker e ogni dispositivo mobile affinché i token funzionino. Se il server Looker e un dispositivo mobile non sono sincronizzati, l'utente del dispositivo mobile potrebbe non essere in grado di eseguire l'autenticazione con 2FA. Per sincronizzare le fonti di tempo:
- Imposta i dispositivi mobili per la sincronizzazione automatica dell'ora con la rete.
- Per i deployment Looker ospitati dal cliente, assicurati che NTP sia in esecuzione e configurato sul server. Se è stato eseguito il provisioning del server su AWS, potrebbe essere necessario consentire esplicitamente NTP nell'ACL di rete AWS.
- Un amministratore di Looker può impostare la deviazione temporale massima consentita nel riquadro Admin (Amministrazione) di Looker che definisce la differenza di differenza tra il server e i dispositivi mobili. Se l'impostazione della data e l'ora di disattivazione di un dispositivo mobile sono superiori a quelle consentite per la deviazione, le chiavi di autenticazione non funzionano. Il valore predefinito è 90 secondi.
Reimpostazione dell'autenticazione a due fattori
Se un utente ha bisogno di reimpostare la 2FA (ad esempio, se ha un nuovo dispositivo mobile):
- Nella pagina Users (Utenti) nella sezione Admin (Amministrazione) di Looker, fai clic su Edit (Modifica) sul lato destro della riga dell'utente per modificare i dati dell'account.
- Nella sezione Secret a due fattori, fai clic su Reimposta. In questo modo, Looker chiederà all'utente di scansionare nuovamente un codice QR con l'app Google Authenticator al successivo tentativo di accesso all'istanza di Looker.