O Looker oferece autenticação de dois fatores (2FA) como uma camada adicional de segurança para proteger os dados que podem ser acessados por ele. Com a autenticação de dois fatores ativada, todos os usuários que fizerem login precisarão se autenticar com um código de uso único gerado pelo dispositivo móvel. Não há opção de ativar a autenticação de dois fatores para um subconjunto de usuários.
Na página Autenticação de dois fatores da seção Autenticação do menu Administrador, você pode ativar e configurar a autenticação de dois fatores.
A autenticação de dois fatores não afeta o uso da API Looker.
A autenticação de dois fatores não afeta a autenticação por sistemas externos, como LDAP, SAML, Google OAuth ou OpenID Connect. A autenticação de dois fatores afeta as credenciais alternativas de login usadas com esses sistemas.
Como usar a autenticação de dois fatores
Veja a seguir o fluxo de trabalho de alto nível para configurar e usar a autenticação de dois fatores. Observe os requisitos de sincronização de tempo, que são necessários para o funcionamento correto da 2FA.
O administrador ativa a autenticação de dois fatores nas configurações do administrador do Looker.
Quando você ativa a 2FA, todos os usuários que fazem login no Looker são desconectados e precisam fazer login novamente usando a 2FA.
Os usuários instalam o app iPhone ou o app Android do Google Authenticator nos dispositivos móveis.
No primeiro login, uma imagem de um código QR é exibida na tela do computador para o usuário, que vai ser lido no smartphone usando o app Google Authenticator:
Se o usuário não conseguir ler um código QR com o smartphone, também há a opção de gerar um código de texto que pode ser inserido no smartphone.
Depois de concluir essa etapa, os usuários poderão gerar chaves de autenticação para o Looker.
Nos logins seguintes para o Looker, o usuário precisará digitar uma chave de autenticação depois de enviar o nome de usuário e a senha.
Se um usuário ativar a opção Este é um computador confiável, a chave autenticará o navegador de login em uma janela de 30 dias. Durante esse processo, o usuário pode fazer login apenas com o nome de usuário e a senha. A cada 30 dias, o Looker exige que cada usuário faça uma nova autenticação do navegador com o Google Authenticator.
Requisitos de sincronização de tempo
Para que os tokens funcionem, o Google Authenticator produz tokens baseados em tempo, que exigem sincronização de tempo entre o servidor Looker e cada dispositivo móvel. Se o servidor do Looker e um dispositivo móvel não estiverem sincronizados, isso poderá fazer com que o usuário de dispositivo móvel não possa ser autenticado com a autenticação de dois fatores. Para sincronizar origens de tempo:
- Defina dispositivos móveis para sincronização automática de tempo com a rede.
- Para implantações do Looker hospedadas pelo cliente, verifique se o NTP está em execução e configurado no servidor. Se o servidor for provisionado na AWS, talvez seja necessário permitir explicitamente o NTP na ACL da rede da AWS.
- Um administrador do Looker pode definir o deslocamento máximo permitido no painel Administrador do Looker, que define a diferença permitida entre o servidor e os dispositivos móveis. Se a configuração de horário de um dispositivo móvel estiver acima do desvio permitido, as chaves de autenticação não funcionarão. O padrão é 90 segundos.
Redefinindo a autenticação de dois fatores
Se um usuário precisar redefinir a 2FA (por exemplo, se tiver um novo dispositivo móvel):
- Na página Usuários da seção Administrador do Looker, clique em Editar no lado direito da linha do usuário para editar as informações da conta do usuário.
- Na seção Secret de dois fatores, clique em Redefinir. Isso faz com que o Looker solicite que o usuário leia novamente um código QR com o aplicativo Google Authenticator na próxima vez que tentar fazer login na instância do Looker.